Jenkins Plugin Security Bulletin: RCE, SSRF, LFI via LDAP/AD/Credentials

Jenkins 安全公告 2026-05-27 漏洞概述 此公告宣布以下 Jenkins 组件中存在漏洞： Active Directory Plugin AppSpider Plugin Bitbucket OAuth Plugin buildgraph-view Plugin Credentials Binding Plugin Email Extension Plugin GitHub Integration Plugin Job Import Plugin LDAP Plugin Multijob Plugin Pipeline: Groovy Libraries Plugin 影响范围 1. LDAP 插件中的未验证 LDAP 重定向导致的 RCE 漏洞 - CVE: CVE-2026-48916 (SSRF), CVE-2026-48917 (反序列化) - 严重程度: 中等 - 受影响插件: LDAP - 描述: LDAP 插件 807.v7d7de30930cf 及更早版本遵循配置的 LDAP 服务器的 LDAP 重定向。这些重定向可以转发到 RMI URL，导致 Jenkins 反序列化攻击者控制的数据，从而在 Jenkins 控制器上执行远程代码执行 (RCE)。 2. Active Directory 插件中的未验证 LDAP 重定向导致的 RCE 漏洞 - CVE: CVE-2026-48918 (SSRF), CVE-2026-48919 (反序列化) - 严重程度: 中等 - 受影响插件: active-directory - 描述: Active Directory 插件 2.41 及更早版本默认遵循配置的 Active Directory 服务器的 LDAP 重定向。这些重定向可以转发到 RMI URL，导致 Jenkins 反序列化攻击者控制的数据，从而在 Jenkins 控制器上执行远程代码执行 (RCE)。 3. Email Extension 插件中的任意文件读取漏洞 - CVE: CVE-2026-48920 - 严重程度: 高 - 受影响插件: email-ext - 描述: Email Extension 插件 1933.v45cec755423f 及更早版本包含一个允许内联图像的功能，通过设置 属性。没有对可以内联的图像 URL 进行限制。 4. Pipeline: Groovy Libraries 插件中通过符号链接的任意文件读取漏洞 - CVE: CVE-2026-48921 - 严重程度: 高 - 受影响插件: pipeline-groovy-lib - 描述: Pipeline: Groovy Libraries 插件 797.v90ea_a_9b_e45a_0 及更早版本不禁止共享库中的符号链接。 5. Credentials Binding 插件中的路径遍历漏洞 - CVE: CVE-2026-48922 - 严重程度: 高 - 受影响插件: credentials-binding - 描述: Credentials Binding 插件 720.v3f6decef43ea_ 及更早版本未正确清理文件和 zip 文件凭据的文件名。 6. AppSpider 插件中缺少权限检查导致发送请求 - CVE: CVE-2026-48923 - 严重程度: 中等 - 受影响插件: jenkinsci-appspider-plugin - 描述: AppSpider 插件 1.0.17 及更早版本在实现表单验证的方法中未执行权限检查。 7. Bitbucket OAuth 插件中的开放重定向漏洞 - CVE: CVE-2026-48924 - 严重程度: 中等 - 受影响插件: bitbucket-oauth - 描述: Bitbucket OAuth 插件 0.17 及更早版本在登录后不限制重定向 URL。 8. GitHub Integration 插件中的 CSRF 漏洞 - CVE: CVE-2026-48925 - 严重程度: 中等 - 受影响插件: github-pullrequest - 描述: GitHub Integration 插件 0.7.3 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造 (CSRF) 漏洞。 9. Multijob 插件中的 CSRF 漏洞允许恢复构建 - CVE: CVE-2026-9674 - 严重程度: 中等 - 受影响插件: jenkins-multijob-plugin - 描述: Multijob 插件 662.vd2e0001fb_b_d 及更早版本不要求 HTTP 端点的 POST 请求，导致跨站请求伪造 (CSRF) 漏洞。 10. Job Import 插件中缺少权限检查导致枚举凭据 ID - CVE: CVE-2026-48926 - 严重程度: 中等 - 受影响插件: job-import-plugin - 描述: Job Import 插件 143.v044a_2e819b_27 及更早版本在 HTTP 端点中未执行权限检查。 11. buildgraph-view 插件中的存储型 XSS 漏洞 - CVE: CVE-2026-48927 - 严重程度: 高 - 受影响插件: buildgraph-view - 描述: buildgraph-view 插件 1.8 及更早版本未转义构建 URL。 修复方案 Active Directory Plugin: 更新到版本 2.41.1 AppSpider Plugin: 更新到版本 1.0.18 Bitbucket OAuth Plugin: 更新到版本 0.18 Credentials Binding Plugin: 更新到版本 725.ve52b_2328a_fde Email Extension Plugin: 更新到版本 1933.v276319e3cc47 GitHub Integration Plugin: 更新到版本 0.7.4 Job Import Plugin: 更新到版本 143.145.v48f9a_a_6ff384 LDAP Plugin: 更新到版本 807.809.vd3a_4e5e4ec98 Multijob Plugin: 更新到版本 669.v9d96a_9c71b_0 Pipeline: Groovy Libraries Plugin: 更新到版本 798.v5cc688825312 其他信息 严重性: - SECURITY-3486: 高 - SECURITY-3654: 中等 - SECURITY-3659: 中等 - SECURITY-3671: 中等 - SECURITY-3705: 高 - SECURITY-3727: 高 - SECURITY-3761: 中等 - SECURITY-3776: 中等 - SECURITY-3781: 中等 - SECURITY-3783: 中等 - SECURITY-3790: 高 受影响版本: - Active Directory Plugin: 2.41 及更早 - AppSpider Plugin: 1.0.17 及更早 - Bitbucket OAuth Plugin: 0.17 及更早 - buildgraph-view Plugin: 1.8 及更早 - Credentials Binding Plugin: 720.v3f6decef43ea_ 及更早 - Email Extension Plugin: 1933.v45cec755423f 及更早 - GitHub Integration Plugin: 0.7.3 及更早 - Job Import Plugin: 143.v044a_2e819b_27 及更早 - LDAP Plugin: 807.v7d7de30930cf 及更早 - Multijob Plugin: 662.vd2e0001fb_b_d 及更早 - Pipeline: Groovy Libraries Plugin: 797.v90ea_a_9b_e45a_0 及更早 修复版本: - Active Directory Plugin: 2.41.1 - AppSpider Plugin: 1.0.18 - Bitbucket OAuth Plugin: 0.18 - Credentials Binding Plugin: 725.ve52b_2328a_fde - Email Extension Plugin: 1933.v276319e3cc47 - GitHub Integration Plugin: 0.7.4 - Job Import Plugin: 143.145.v48f9a_a_6ff384 - LDAP Plugin: 807.809.vd3a_4e5e4ec98 - Multijob Plugin: 669.v9d96a_9c71b_0 - Pipeline: Groovy Libraries Plugin: 798.v5cc688825312 致谢: - Arad Inbar, Erez Cohen, Nir Somech, Ben Grinberg, Daniel Lubel, Adiel Sol 来自 DREAM - Mitchell Benjamin, Revamp Studio, 和 Qianheng Wang - Olawale Titloye, Samy Medjahed (Ap4sh), Elliott Laurie (Ethiczz), @surrealgreen - Tommaso Gregori (p1s1a) - Yaroslav Afenkin - dylingman1 (redpoc Offensive Security Team) --- 注意: 页面中未包含 POC 代码或利用代码。

目標達成 すべての支援者に感謝 — 100%達成しました！

Jenkins Plugin Security Bulletin: RCE, SSRF, LFI via LDAP/AD/Credentials

目標達成すべての支援者に感謝 — 100%達成しました！