关键信息 漏洞描述 Git Parameter Plugin: 缺少参数值的输入验证,可能导致任意代码执行。 Aqua Security Scanner Plugin: 以明文形式存储令牌,存在安全风险。 Statistics Gathering Plugin: AWS密钥未加密且以明文显示,存在泄露风险。 ReadyAPI Functional Testing Plugin: 凭证以明文存储和显示,存在泄露风险。 Applitools Eyes Plugin: 存储XSS漏洞,可能被利用进行跨站脚本攻击。 Qmetry Test Management Plugin: API密钥以明文存储和显示,存在泄露风险。 Testigma Test Plan run Plugin: API密钥未掩码显示,存在泄露风险。 IFTTT Build Notifier Plugin: 密钥以明文存储,存在泄露风险。 IBM Cloud DevOps Plugin: 令牌以明文存储,存在泄露风险。 Spice Loadtest Plugin: 令牌以明文存储和显示,存在泄露风险。 Dead Man's Snitch Plugin: 令牌以明文存储和显示,存在泄露风险。 Maddy Plugin: API密钥以明文存储和显示,存在泄露风险。 Novozaal OneCloud Plugin: 密钥以明文存储和显示,存在泄露风险。 Kryptonite Plugin: API密钥以明文存储,存在泄露风险。 Sensedia Api Platform Plugin: 令牌以明文存储和显示,存在泄露风险。 Warrior Framework Plugin: 密码以明文存储,存在泄露风险。 Xoon Plugin: 令牌以明文存储和显示,存在泄露风险。 Userlist Ufacial Plugin: 令牌以明文存储,存在泄露风险。 严重性 Critical: Jenkins Git Parameter Plugin, Aqua Security Scanner Plugin, Statistics Gathering Plugin, ReadyAPI Functional Testing Plugin, Applitools Eyes Plugin, Qmetry Test Management Plugin, Testigma Test Plan run Plugin, IFTTT Build Notifier Plugin, IBM Cloud DevOps Plugin, Spice Loadtest Plugin, Dead Man's Snitch Plugin, Maddy Plugin, Novozaal OneCloud Plugin, Kryptonite Plugin, Sensedia Api Platform Plugin, Warrior Framework Plugin, Xoon Plugin, Userlist Ufacial Plugin. 影响版本 各插件的具体受影响版本详见公告详情。 固定 更新至最新版本或应用官方提供的补丁。 致谢 感谢所有报告和协助修复这些漏洞的安全研究人员和团队。