关键信息 漏洞描述 Jenkins Security Advisory 2025-07-09 - 描述了多个插件中存在的安全漏洞,包括凭证处理不当、文件路径信息泄露、输入验证缺失、API密钥和令牌存储不当等。 漏洞详情 Credential Binding Plugin - 不正确的凭证标记。 HTML Publisher Plugin - 文件路径信息泄露。 Git Parameter Plugin - 参数值缺少输入验证。 Aqua Security Scanner Plugin - 以明文形式存储令牌。 Statistics Gathering Plugin - AWS Secret Key未加密且以明文显示。 ReadyAPI Functional Testing Plugin - 凭证以明文形式存储和显示。 Applitools Eyes Plugin - 存储的XSS漏洞。 QMetric Test Management Plugin - API密钥以明文形式存储和显示。 Testigma Test Plan run Plugin - API密钥未被掩码显示。 IFTTT Build Notifier Plugin - 密钥以明文形式存储。 IBM Cloud DevOps Plugin - 令牌以明文形式存储。 Apice Loadtest Plugin - 令牌以明文形式存储和显示。 Dead Man's Snitch Plugin - 令牌以明文形式存储和显示。 Maddy Plugin - API和密钥以明文形式存储和显示。 Novoza OneCloud Plugin - 密钥以明文形式存储和显示。 Kryptonite Plugin - API密钥以明文形式存储。 SentryApi Plugin - 令牌以明文形式存储和显示。 Warrior Framework Plugin - 密码以明文形式存储。 Zoon Plugin - 令牌以明文形式存储和显示。 Userlist Ufacist Plugin - 令牌以明文形式存储。 影响版本 列出了受影响的具体插件版本。 固定措施 提供了修复这些漏洞的建议和步骤。 致谢 感谢发现和报告这些漏洞的安全研究人员。