以下是该网页截图中的关键漏洞信息,以简洁的Markdown格式呈现: --- Jenkins Security Advisory 2017-10-23 描述 持久的跨站脚本漏洞 (Persistent Cross-Site Scripting vulnerability) in Active Choices 插件 CVE: CVE-2017-1000386 描述: Active Choices 插件允许具有 Job/Configure 权限的用户通过 Active Choices Reactive Reference Parameter 在 Build With Parameters 页面上插入任意 HTML。现在插件会对 HTML 进行清理,只有在脚本被沙盒执行时才允许插入 HTML。 --- 跨站请求伪造 (Cross-Site Request Forgery, CSRF) 和反射型跨站脚本漏洞 (Reflected Cross-Site Scripting vulnerability) in global-build-stats 插件 CVE: CVE-2017-1000389 描述: global-build-stats 插件返回的 JSON 响应包含请求参数,并且 Content-Type 为 text/html,导致潜在的反射型跨站脚本漏洞。 --- 依赖关系图查看插件中缺少权限检查 (Missing permission checks in Dependency Graph Viewer plugin) CVE: CVE-2017-1000388 描述: 该插件未对修改依赖关系图的 API 简单 endpoint 进行权限检查。 --- 构建发布插件以明文形式存储 Jenkins 凭证 (Build-Publisher plugin stores Jenkins credentials unencrypted on disk, round-trips in unencrypted form) CVE: CVE-2017-1000387 描述: build_publisher.xml 文件以明文存储 Jenkins 凭证。 --- 多作业插件中缺少权限检查 (Missing permission check in Multijob plugin Resume Build action) CVE: CVE-2017-1000390 描述: Multijob 插件不在 Resume Build 操作中检查权限。 --- SCP 发布插件以明文形式存储凭证 (SCP publisher plugin stores credentials unencrypted on disk, round-trips in unencrypted form) CVE: SECURITY-374 描述: SCPRepositoryPublisher.xml 文件以明文存储 SSH 凭证。 --- 严重性 浏览器类型漏洞: 中等 其他类型漏洞: 中等 --- 影响的版本 Active Choices 插件 <= 1.5.3 Build-Publisher 插件 <= 1.21 Dependency Graph Viewer 插件 <= 0.12 global-build-stats 插件 <= 1.4 Multijob 插件 <= 1.25 所有版本的 SCP 插件 --- 固定 更新受影响的插件到最新版本。 --- 贡献 感谢报告这些漏洞的人员。 ---