漏洞关键信息 漏洞概述 公告名称: Jenkins Security Advisory 2019-02-19 涉及插件: - Acunetix Plugin - Cloud Foundry Plugin - CloudBees CD Plugin - Digital.ai App Management Publisher Plugin - JMS Messaging Plugin - Mattermost Notification Plugin - Octopus Deploy Plugin - Script Security Plugin 描述 Sandbox Bypasses in Script Security Plugin (SECURITY-1320 / CVE-2019-1003024) - 严重性: 高 - 影响插件: script-security - 描述: 沙箱可以通过使用Groovy语言特性绕过。 CSRF vulnerability and missing permission checks in Cloud Foundry Plugin allowed capturing credentials - 严重性: 中等 - 影响插件: cloudfoundry - 描述: 插件未对实施表单验证的方法进行权限检查,允许用户连接到攻击者指定的URL并捕获凭据。 SSRF vulnerability due to missing permission check in Mattermost Notification Plugin - 严重性: 中等 - 影响插件: mattermost - 描述: 插件允许用户连接到攻击者指定的服务器和房间并发布消息。 另外四种类似的SSRF和CSRF漏洞 - 影响插件: octopusdeploy, jms-messaging, electricflow, acunetix - 描述: 类似于Mattermost Notification Plugin的信息泄露和认证绕过。 Acunetix Plugin stored API key in plain text (SECURITY-951) - 严重性: 低 - 影响插件: acunetix - 描述: API密钥明文保存在全局配置文件中。 Arxan MAM Publisher Plugin stored password in plain text (SECURITY-1070) - 严重性: 中等 - 影响插件: ease-plugin - 描述: 用户名和密码明文保存在配置文件中。 严重性 SECURITY-1320: 高 SECURITY-1070: 中等 SECURITY-937: 中等 SECURITY-980: 中等 SECURITY-985: 中等 SECURITY-817: 中等 SECURITY-876: 中等 SECURITY-951: 低 受影响版本和修复建议 提供具体插件受影响的版本和相应的修复版本。 致谢 确认发现和报告漏洞的人员。