从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - Script Security Plugin:插件在验证方法中未进行权限检查,允许具有Overall/Read权限的攻击者检查控制器文件系统中是否存在文件。 - Pipeline: Groovy Plugin:插件在重建之前未检查主脚本是否被批准,允许具有Item/Build权限的攻击者重建未被批准的构建。 - Pipeline: Declarative Plugin:插件在重新启动之前未检查主脚本是否被批准,允许具有Item/Build权限的攻击者重新启动未被批准的构建。 - Authorize Project Plugin:插件在授权视图中评估包含JavaScript的字符串,导致存储型跨站脚本(XSS)漏洞。 - OpenID Connect Authentication Plugin:插件在登录时未清除现有会话,允许攻击者通过社会工程手段获取管理员权限。 - IvyTrigger Plugin:插件在构建触发器中允许攻击者控制输入文件,导致XML外部实体解析漏洞。 - Shared Library Version Override Plugin:插件在配置文件中未正确处理文件夹级别的库覆盖,允许攻击者绕过脚本安全沙箱。 2. 受影响的版本: - Authorize Project Plugin:1.7.2及之前版本。 - IvyTrigger Plugin:1.01及之前版本。 - OpenID Connect Authentication Plugin:4.418.vccc7061f5b_6d及之前版本。 - Pipeline: Declarative Plugin:2.2214.vb_b_34b_2ea_9b_83及之前版本。 - Pipeline: Groovy Plugin:3990.vd281dd77a_388及之前版本。 - Script Security Plugin:1367.vdf2fc45f229c及之前版本。 - Shared Library Version Override Plugin:17.v786074c9fce7及之前版本。 3. 修复措施: - 更新受影响的插件到最新版本以修复漏洞。 4. 信用: - 感谢报告漏洞的人员,包括Daniel Beck和Kevin Guerroudj。 这些信息可以帮助用户了解哪些插件存在安全漏洞,以及如何通过更新到最新版本来修复这些漏洞。