关键漏洞信息 1. OpenID Connect Provider Plugin CVE: CVE-2025-47884 严重性: Critical 受影响插件: openid-provider 描述: 在OpenID Connect Provider Plugin中,声明模板可以使用环境变量进行动态配置。默认的构建ID令牌模板使用 环境变量,这可能导致未经授权的访问。 2. Health Advisor by CloudBees Plugin CVE: CVE-2025-47885 严重性: High 受影响插件: cloudbees-jenkins-advisor 描述: Health Advisor插件在处理响应时未对某些内容进行转义,导致存储型XSS漏洞。 3. Cadence vManager Plugin CVE: CVE-2025-47886 (CSRF), CVE-2025-47887 (缺少权限检查) 严重性: Medium 受影响插件: vmanager-plugin 描述: 插件在表单验证方法中未执行权限检查,并且某些验证方法不要求POST请求,导致CSRF和权限绕过漏洞。 4. DingTalk Plugin CVE: CVE-2025-47888 严重性: Medium 受影响插件: dingding-notifications 描述: 插件无条件禁用了SSL/TLS证书验证,导致安全连接风险。 5. WSO2 Oauth Plugin CVE: CVE-2025-47889 严重性: Critical 受影响插件: wso2id-oauth 描述: 插件在认证过程中未验证认证声明,允许未授权用户使用任意用户名和密码登录。 影响版本与修复建议 Cadence vManager Plugin: 更新至4.0.1-288.v8804b_ea_a_cb_7f Health Advisor by CloudBees Plugin: 更新至374.376.v3a_41a_a_142efe OpenID Connect Provider Plugin: 更新至111.v29d614b_3617 DingTalk Plugin 和 WSO2 Oauth Plugin 目前无可用修复版本。