从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - Exposure of multi-line secrets through error messages in Jenkins:Jenkins 2.478 和更早版本、LTS 2.462.2 和更早版本在处理涉及 表单字段的表单提交时,不会在错误消息中隐藏多行秘密值。 - Item creation restriction bypass vulnerability in Jenkins:Jenkins 的 API 提供了对项目创建的细粒度控制,允许攻击者绕过这些限制,创建临时项目。 - Encrypted values of credentials revealed to users with Extended Read permission in Credentials Plugin:Credentials Plugin 1380 和更早版本在通过 REST API 或 CLI 访问项目配置文件时,不会隐藏使用 类型的加密凭据值。 - Lack of audience claim validation in OpenId Connect Authentication Plugin:OpenId Connect Authentication Plugin 4.354 和更早版本在验证 ID 令牌时,不会检查 (Audience) 声明。 - Lack of issuer claim validation in OpenId Connect Authentication Plugin:OpenId Connect Authentication Plugin 4.355 和更早版本在验证 ID 令牌时,不会检查 (Issuer) 声明。 2. 漏洞影响: - Jenkins weekly:从 2.479 版本开始。 - Jenkins LTS:从 2.462.3 版本开始。 - Credentials Plugin:从 1381 版本开始。 - OpenId Connect Authentication Plugin:从 4.355 版本开始。 3. 修复措施: - 更新到指定版本的 Jenkins 和插件以修复这些漏洞。 4. 信用: - 感谢报告这些漏洞的人员,包括 Antonio Muñiz、James Nord 和 Kevin Guerroudj。 这些信息可以帮助用户了解漏洞的性质、影响范围以及如何通过更新软件来修复这些漏洞。