关键漏洞信息 漏洞概述 公告名称: Jenkins Security Advisory 2019-12-17 受影响插件: - Alauda DevOps Pipeline Plugin - Alauda Kubernetes Support Plugin - Build Failure Analyzer Plugin - buildgraph-view Plugin - Gerrit Trigger Plugin - Mantis Plugin - Maven Release Plug-in Plugin - Mission Control Plugin - Pipeline Aggregator View Plugin - RapidDeploy Plugin - Redgate SQL Change Automation Plugin - Rundeck Plugin - SCTMExecutor Plugin - Spira Importer Plugin - Team Concert Plugin - WebSphere Deployer Plugin - Weibo Plugin 详细漏洞描述 XXE漏洞在Maven Release Plug-in插件中: - CVE ID: CVE-2019-16549, CVE-2019-16550 - 严重性: High - 受影响版本: Maven Release Plug-in 0.16.1及以下 - 修复措施: 更新到最新版本 CSRF漏洞和缺少权限检查在Gerrit Trigger Plugin中: - CVE ID: CVE-2019-16551, CVE-2019-16552 - 严重性: Medium - 受影响版本: Gerrit Trigger Plugin 2.30.1及以下 - 修复措施: 更新到最新版本 修复信息 Build Failure Analyzer Plugin: 更新到1.24.2版本 Gerrit Trigger Plugin: 更新到2.30.2版本 Maven Release Plug-in Plugin: 更新到0.16.2版本 Pipeline Aggregator View Plugin: 更新到1.9版本 Rundeck Plugin: 更新到3.6.5版本 Spira Importer Plugin: 更新到3.2.4版本 其他重要信息 公告日期: 2019-12-17 漏洞严重性: - High: SECURITY-1681 - Medium: SECURITY-1527, SECURITY-1580, SECURITY-1591, SECURITY-1592, SECURITY-1593, SECURITY-1597, SECURITY-1602, SECURITY-1605