关键漏洞信息 Jenkins Security Advisory 2020-11-04 受影响的插件: Active Directory Plugin Ansible Plugin AppSpider Plugin AWS Global Configuration Plugin Azure Key Vault Plugin FindBugs Plugin Kubernetes Plugin Mail Commander Plugin for Jenkins-ci Plugin Mercurial Plugin SQLPlus Script Runner Plugin Subversion Plugin VisualWorks Store Plugin VMware Lab Manager Slaves Plugin 漏洞描述 SECURITY-2117 / CVE-2020-2299 - 严重性: Critical - 受影响插件: active-directory - 描述: 在Active Directory插件2.19及更早版本中,LDAP模式的用户查找和身份验证共用代码并使用魔法常量来区分。如果用魔法常量代替真实密码,攻击者可以使用magic常量作为密码登录。 SECURITY-2099 / CVE-2020-2300 - 严重性: High - 受影响插件: active-directory - 描述: Windows / ADSI模式不允许空密码,但不想当AD服务器允许无身份验证的bind操作时,允许攻击者使用空密码登录。 更多漏洞描述见上。 修复建议 更新对应插件到最新版本。 关闭不必要的功能(如禁用缓存)。