关键漏洞信息 1. Git client Plugin 文件系统信息泄露漏洞 CVE: CVE-2025-58458 严重性: 中等 (CVSS: Medium) 受影响插件: git-client 描述: Git client Plugin 6.3.2 及更早版本允许使用实验性的 协议与捆绑的 Git 库一起使用。此协议通过 Amazon S3 基于文件路径的内容对文件进行身份验证,该路径作为 URL 的权威部分提供。 影响: 攻击者可以检查 Jenkins 控制器文件系统中是否存在指定的文件路径。 2. Jakarta Mail API Plugin SMTP 命令注入漏洞 CVE: CVE-2025-7962 严重性: 中等 (CVSS: Medium) 受影响插件: jakarta-mail-api 描述: Jakarta Mail API Plugin 2.1.3-2 及更早版本捆绑了易受 CVE-2025-7962 影响的 Angus Mail 版本。 影响: 攻击者可以控制 Jenkins 发送电子邮件的收件人电子邮件地址,并向任意收件人发送包含任意内容的电子邮件。 3. global-build-stats Plugin 缺少权限检查导致枚举图形 ID CVE: CVE-2025-58459 严重性: 中等 (CVSS: Medium) 受影响插件: global-build-stats 描述: global-build-stats Plugin 3.22.v22f4db_18e2dd 及更早版本在其 REST API 端点上不执行权限检查。 影响: 具有 Overall/Read 权限的攻击者可以枚举图形 ID 并访问这些图形。 4. OpenTelemetry Plugin 缺少权限检查导致捕获凭据 CVE: CVE-2025-58460 严重性: 中等 (CVSS: Medium) 受影响插件: opentelemetry 描述: OpenTelemetry Plugin 3.1543.v8446b_92b_c6d6 及更早版本在实现表单验证的方法中未执行权限检查。 影响: 具有 Overall/Read 权限的攻击者可以通过攻击者指定的 URL 连接到连接,并捕获存储在 Jenkins 中的凭据。 修复建议 更新 Git client Plugin 至版本 6.3.3 更新 global-build-stats Plugin 至版本 3.47.v32a_eb_0493c4f 更新 Jakarta Mail API Plugin 至版本 2.1.3-3 更新 OpenTelemetry Plugin 至版本 3.1543.1545.vf5a_4ec123769