关键信息摘要 漏洞概述 日期: 2020-09-01 公告: Jenkins Security Advisory 2020-09-01 关键插件: - Build Failure Analyzer Plugin - Cadence vManager Plugin - Database Plugin - Git Parameter Plugin - JS Games Plugin - Klocwork Analysis Plugin - Parameterized Remote Trigger Plugin - ReadyAPI Functional Testing Plugin - tfs Plugin - Valgrind Plugin 漏洞详情 1. Git Parameter Plugin CVE: 2020-2238 严重性: High 描述: 存储的XSS漏洞,可被具有Job/Configure权限的攻击者利用。 2. Parameterized Remote Trigger Plugin CVE: 2020-2239 严重性: Low 描述: 以明文形式存储的机密信息。 3. Database Plugin CVE: 2020-2240 严重性: High 描述: CSRF漏洞,允许攻击者执行任意SQL脚本。 4. Cadence vManager Plugin CVE: 2020-2243 严重性: High 描述: 存储的XSS漏洞,可被具有Run/Update权限的攻击者利用。 5. Build Failure Analyzer Plugin CVE: 2020-2244 严重性: High 描述: XSS漏洞,可被提供控制台输出的攻击者利用。 6. Valgrind Plugin CVE: 2020-2245 严重性: High 描述: XML外部实体(XXE)漏洞。 修复建议 Build Failure Analyzer Plugin: 更新至1.27.1 Cadence vManager Plugin: 更新至3.0.5 Database Plugin: 更新至1.7 Git Parameter Plugin: 更新至0.9.13 Parameterized Remote Trigger Plugin: 更新至3.1.4 ReadyAPI Functional Testing Plugin: 更新至1.4 影响版本 Build Failure Analyzer Plugin: 1.27.0及之前版本 Cadence vManager Plugin: 3.0.4及之前版本 Database Plugin: 1.6及之前版本 Git Parameter Plugin: 0.9.12及之前版本 Parameterized Remote Trigger Plugin: 3.1.3及之前版本 ReadyAPI Functional Testing Plugin: 1.3及之前版本 未修复插件 JS Games Plugin Klocwork Analysis Plugin ReadyAPI Functional Testing Plugin tfs Plugin Valgrind Plugin