关键漏洞信息 1. OpenID Connect Provider Plugin CVE: CVE-2025-47884 严重性: Critical 受影响插件: oidc-provider 描述: 在OpenID Connect Provider Plugin中,声明模板可以使用环境变量进行动态配置。默认的构建ID令牌模板使用 环境变量,这可能导致环境变量被覆盖。 2. Health Advisor by CloudBees Plugin CVE: CVE-2025-47885 严重性: High 受影响插件: cloudbees-jenkins-advisor 描述: Health Advisor插件在374.v194b_d4f0c8c8及更早版本中未对Jenkins Health Advisor服务器的响应进行转义,导致存储型XSS漏洞。 3. Cadence vManager Plugin CVE: CVE-2025-47886 (CSRF), CVE-2025-47887 (缺少权限检查) 严重性: Medium 受影响插件: vmanager-plugin 描述: Cadence vManager插件在4.0.1-286.v9e25a_740b_a_48及更早版本中未在表单验证方法中执行权限检查,允许具有Overall/Read权限的攻击者连接到指定URL并使用指定的用户名和密码。 4. DingTalk Plugin CVE: CVE-2025-47888 严重性: Medium 受影响插件: dingtalk-notifications 描述: DingTalk插件在2.7.3及更早版本中无条件禁用SSL/TLS证书和主机名验证,导致安全风险。 5. WSO2 OAuth Plugin CVE: CVE-2025-47889 严重性: Critical 受影响插件: wso2id-oauth 描述: WSO2 OAuth插件在1.0及更早版本中接受未经验证的身份验证声明,允许未认证的攻击者使用任意用户名和密码登录。 影响版本与修复建议 Cadence vManager Plugin: 更新至4.0.1-288.v8804b_ea_a_cb_7f Health Advisor by CloudBees Plugin: 更新至374.376.v3a_41a_a_142efe OpenID Connect Provider Plugin: 更新至111.v29d614b_3617 DingTalk Plugin 和 WSO2 OAuth Plugin: 当前无可用修复补丁。