Jenkins 安全公告 2026-06-24 漏洞总结 漏洞概述 该公告列出了 Jenkins 多个插件中存在的安全漏洞,包括沙箱绕过、命令注入、CSRF 漏洞、权限检查缺失等。 影响范围 Script Security Plugin:存在沙箱绕过漏洞,允许攻击者执行任意代码。 Git Client Plugin:存在命令注入漏洞,允许攻击者执行任意命令。 Pipeline: Groovy Plugin:存在 CSRF 漏洞和不受限制的类型实例化漏洞。 GitHub Branch Source Plugin:存在权限检查缺失漏洞,允许枚举 GitHub Enterprise 服务器 URL。 Git Parameter Plugin:存在权限检查缺失漏洞,允许列出 SCM 分支和标签名称。 Job Configuration History Plugin:存在加密值未重写的漏洞,允许查看加密的密钥。 Active Directory Plugin:存在 LDAP 注入漏洞,允许枚举目录用户和组名称。 MCP Server Plugin:存在权限检查缺失漏洞,允许读取 Pipeline 重放脚本。 Bitbucket Push and Pull Request Plugin:存在 SSL/TLS 证书验证无条件禁用的漏洞。 Priority Sorter Plugin:存在 CSRF 漏洞。 Gitee Plugin:存在权限检查缺失和 CSRF 漏洞。 EC2 Fleet Plugin:存在权限检查缺失和 CSRF 漏洞。 External Workspace Manager Plugin:存在路径遍历漏洞。 修复方案 Script Security Plugin:升级到版本 1402.v94c9ce464861 或更高版本。 Git Client Plugin:升级到版本 6.6.1 或更高版本。 Pipeline: Groovy Plugin:升级到版本 4331.v056fd4658ff 或更高版本。 GitHub Branch Source Plugin:升级到版本 1967.1969.v205fd594c821 或更高版本。 Git Parameter Plugin:升级到版本 462.463.v496a_59f698e5 或更高版本。 Job Configuration History Plugin:升级到版本 1356.ve360da_6c523a_ 或更高版本。 Active Directory Plugin:升级到版本 2.41.2 或更高版本。 MCP Server Plugin:升级到版本 0.178.vfe5a_e770f3b_ 或更高版本。 Bitbucket Push and Pull Request Plugin:升级到版本 3.3.8 或更高版本。 Priority Sorter Plugin:升级到版本 936.937.v5581d0b_2ccb_a_ 或更高版本。 Gitee Plugin:升级到版本 1288.v18b_deb_c9069b_ 或更高版本。 EC2 Fleet Plugin:升级到版本 4.2.3.540.va_6eedb_7b_c112 或更高版本。 External Workspace Manager Plugin:升级到版本 1.3.2 或更高版本。 POC 代码或利用代码 页面中未包含具体的 POC 代码或利用代码。 总结 该公告详细列出了 Jenkins 多个插件中存在的安全漏洞及其影响范围和修复方案,建议用户尽快升级相关插件以修复这些漏洞。