Jenkins Plugin Security Fixes: XSS, XXE, Session Fixation, Script Bypass (SECURITY-3010/3361/3362/3466/3473)

从这个网页截图中，可以获取到以下关于漏洞的关键信息： 1. 漏洞描述： - Missing permission check in Script Security Plugin：Script Security Plugin在处理文件系统操作时未进行权限检查，允许具有Overall/Read权限的攻击者检查控制器文件系统中是否存在文件。 - Rebuilding a run with revoked script approval allowed by Pipeline: Groovy Plugin：Groovy Plugin在重建被撤销审批的脚本时未检查脚本是否被撤销，允许具有Item/Build权限的攻击者重建未被撤销审批的脚本。 - Restarting a run with revoked script approval allowed by Pipeline: Declarative Plugin：Declarative Plugin在重启被撤销审批的脚本时未检查脚本是否被撤销，允许具有Item/Build权限的攻击者重启未被撤销审批的脚本。 - Stored XSS vulnerability in Authorize Project Plugin：Authorize Project Plugin在处理项目名称时未进行JavaScript安全检查，允许具有Item/Configure权限的攻击者利用存储型XSS漏洞。 - Session fixation vulnerability in OpenID Connect Authentication Plugin：OpenID Connect Authentication Plugin在登录时未清除会话，允许攻击者通过社会工程手段获取管理员权限。 - XXE vulnerability in IvyTrigger Plugin：IvyTrigger Plugin在处理Ivy脚本时未进行XML外部实体解析检查，允许攻击者利用XXE漏洞控制输入文件。 - Script security bypass vulnerability in Shared Library Version Override Plugin：Shared Library Version Override Plugin在处理库版本时未进行沙箱检查，允许具有Item/Configure权限的攻击者绕过沙箱保护。 2. 受影响的版本： - Authorize Project Plugin：1.7.2及之前版本 - IvyTrigger Plugin：1.01及之前版本 - OpenID Connect Authentication Plugin：4.418.vccc7061f5b_6d及之前版本 - Pipeline: Declarative Plugin：2.2214.vb_b_34b_2ea_9b_83及之前版本 - Pipeline: Groovy Plugin：3990.vd281dd77a_388及之前版本 - Script Security Plugin：1367.vdf2fc45f229c及之前版本 - Shared Library Version Override Plugin：17.v786074c9fce7及之前版本 3. 修复措施： - 更新受影响的插件到最新版本以修复上述漏洞。 4. 感谢报告漏洞的人员： - Daniel Beck, CloudBees, Inc. for SECURITY-3466 - Kevin Guerroudj, CloudBees, Inc. for SECURITY-3010, SECURITY-3361, SECURITY-3362, SECURITY-3473 这些信息可以帮助用户了解Jenkins中已知的安全漏洞及其影响范围，并采取相应的措施来修复这些漏洞。

目標達成 すべての支援者に感謝 — 100%達成しました！

Jenkins Plugin Security Fixes: XSS, XXE, Session Fixation, Script Bypass (SECURITY-3010/3361/3362/3466/3473)

目標達成すべての支援者に感謝 — 100%達成しました！