以下是根据提供的网页截图总结的漏洞关键信息: --- 漏洞概述 1. Sandbox bypass vulnerability in Script Security Plugin - CVE: CVE-2026-57280 - 严重程度: High - 受影响插件: script-security - 描述: Script Security Plugin 1402.v94c9ce464861 及更早版本未拦截隐式类型转换,允许攻击者绕过沙箱保护,执行任意代码。 2. Script security bypass vulnerability in Script Security Plugin - CVE: CVE-2026-57281 - 严重程度: High - 受影响插件: script-security - 描述: Script Security Plugin 1402.v94c9ce464861 及更早版本未拒绝某些 Groovy AST 转换注解,允许攻击者定义和运行沙箱外脚本。 3. OS command injection vulnerability on agents in Git client Plugin - CVE: CVE-2026-57282 - 严重程度: Medium - 受影响插件: git-client - 描述: Git client Plugin 6.6.0 及更早版本未正确转义工作目录名称,允许攻击者注入 shell 命令。 4. CSRF vulnerability and unrestricted instantiation of types in Pipeline: Groovy Plugin - CVE: CVE-2026-57283 (CSRF), CVE-2026-57284 (unrestricted instantiation of types) - 严重程度: Medium - 受影响插件: workflow-cps - 描述: Pipeline: Groovy Plugin 4331.vc06ed4658ff 及更早版本未限制可实例化的类型,并存在 CSRF 漏洞。 5. Missing permission check allows enumerating GitHub Enterprise server URLs in GitHub Branch Source Plugin - CVE: CVE-2026-57285 - 严重程度: Medium - 受影响插件: github-branch-source - 描述: GitHub Branch Source Plugin 1967.1969.v205fd594c821 及更早版本未执行权限检查,允许枚举 GitHub Enterprise 服务器 URL。 6. Missing permission check in Git Parameter Plugin allows listing SCM branch and tag names - CVE: CVE-2026-57286 - 严重程度: Medium - 受影响插件: git-parameter - 描述: Git Parameter Plugin 462.vdcf3df2ed2ca_ 及更早版本未执行权限检查,允许列出 SCM 分支和标签名称。 7. Encrypted values of secrets in job and agent configurations not redacted by Job Configuration History Plugin - CVE: CVE-2026-57287 - 严重程度: Medium - 受影响插件: jobConfigHistory - 描述: Job Configuration History Plugin 1356.ve360da_6c523a_ 及更早版本未隐藏加密的密钥值。 8. LDAP injection vulnerability in Active Directory Plugin - CVE: CVE-2026-57288 - 严重程度: Low - 受影响插件: active-directory - 描述: Active Directory Plugin 2.41.1 及更早版本未转义用户名,允许 LDAP 注入。 9. Missing permission check in MCP Server Plugin allows reading Pipeline replay scripts - CVE: CVE-2026-57300 - 严重程度: Medium - 受影响插件: mcp-server - 描述: MCP Server Plugin 0.177.v629fdb_2557fe 及更早版本未执行权限检查,允许读取 Pipeline 重放脚本。 10. SSL/TLS certificate validation unconditionally disabled by Bitbucket Push and Pull Request Plugin - CVE: CVE-2026-57289 - 严重程度: Medium - 受影响插件: bitbucket-push-and-pull-request - 描述: Bitbucket Push and Pull Request Plugin 3.3.8 及更早版本无条件禁用 SSL/TLS 证书验证。 11. CSRF vulnerability in Priority Sorter Plugin - CVE: CVE-2026-57290 - 严重程度: Medium - 受影响插件: PrioritySorter - 描述: Priority Sorter Plugin 936.v2c01c6b_84449 及更早版本未要求 POST 请求,存在 CSRF 漏洞。 12. Missing permission checks and CSRF vulnerability in Gitee Plugin - CVE: CVE-2026-57291 (missing permission check), CVE-2026-57292 (CSRF) - 严重程度: Medium - 受影响插件: gitee - 描述: Gitee Plugin 1288.v18b_deb_c9069b_ 及更早版本未执行权限检查,存在 CSRF 漏洞。 13. Incorrect permission check in Gitee Plugin allows enumerating credentials IDs - CVE: CVE-2026-57293 - 严重程度: Medium - 受影响插件: gitee - 描述: Gitee Plugin 1288.v18b_deb_c9069b_ 及更早版本未正确执行权限检查,允许枚举凭证 ID。 14. CSRF vulnerability and missing permission checks in EC2 Fleet Plugin - CVE: CVE-2026-57294 (missing permission check), CVE-2026-57295 (CSRF) - 严重程度: Medium - 受影响插件: ec2-fleet - 描述: EC2 Fleet Plugin 4.2.3.539.v8fedff2a_81c3 及更早版本未执行权限检查,存在 CSRF 漏洞。 15. Path traversal vulnerability in External Workspace Manager Plugin - CVE: CVE-2026-57296 - 严重程度: High - 受影响插件: external-workspace-manager - 描述: External Workspace Manager Plugin 1.3.2 及更早版本未拒绝路径遍历。 --- 影响范围 受影响插件: - script-security - git-client - workflow-cps - github-branch-source - git-parameter - jobConfigHistory - active-directory - mcp-server - bitbucket-push-and-pull-request - PrioritySorter - gitee - ec2-fleet - external-workspace-manager 受影响版本: - 各插件的具体版本见上述描述。 --- 修复方案 升级插件: - 升级所有受影响的插件到最新版本。 - 具体版本见上述描述。 其他措施: - 对于无法立即升级的情况,建议采取临时缓解措施,如限制访问权限、启用 CSRF 保护等。 --- POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。 --- 以上为根据网页截图总结的漏洞关键信息。