关键漏洞信息 漏洞类型 凭证不当掩码:在Credentials Binding Plugin中,凭证未被正确掩码。 文件路径信息泄露:HTML Publisher Plugin中存在文件路径信息泄露问题。 参数值缺少输入验证:Git Parameter Plugin中对参数值缺少必要的输入验证。 令牌以明文形式存储:多个插件(如Aqua Security Scanner Plugin、Statistics Gathering Plugin等)将敏感令牌以明文形式存储和显示。 影响范围 受影响的插件: - Credentials Binding Plugin - HTML Publisher Plugin - Git Parameter Plugin - Aqua Security Scanner Plugin - Statistics Gathering Plugin - ReadyAPI Functional Testing Plugin - Applitools Eyes Plugin - QMetry Test Management Plugin - IFTTT Build Notifier Plugin - IBM Cloud DevOps Plugin - Dead Man's Snitch Plugin - Maddy Plugin - Novoza DexCloud Plugin - Kryptonite Plugin - Sentredis Api Plugin - Warrior Framework Plugin - Xoon Plugin - Userlist Ufacast Plugin 严重性 高危:涉及凭证泄露、文件路径信息泄露等问题。 中危:参数值缺少输入验证,可能导致注入攻击。 固定措施 更新插件:确保所有受影响的插件都已更新到最新版本。 配置检查:检查并调整插件配置,确保敏感信息得到适当保护。 致谢 感谢发现并报告这些漏洞的安全研究人员和团队。