关键漏洞信息 漏洞概览 公告日期:2018-09-25 涉及插件: - Arachni Scanner Plugin - Argus Notifier Plugin - Artifactory Plugin - Chatter Notifier Plugin - Config File Provider Plugin - Crowd2 Plugin - Dimensions Plugin - Email Extension Template Plugin - Git Changelog Plugin - HipChat Plugin - Jira Plugin - Job Configuration History Plugin - JUnit Plugin - Jenkins Plugin - Monitoring Plugin - MQ Notifier Plugin - PAM Plugin 具体漏洞描述 CSRF 漏洞 JUnit Plugin - CVE:2018-1000411 - 严重性:低 - 描述:URL 用于允许设置测试对象的描述,未要求 POST 请求,导致 CSRF 漏洞。 Jira Plugin - CVE:2018-1000412 - 严重性:中 - 描述:未执行权限检查,允许用户捕获 Jenkins 中存储的凭证。 XSS 漏洞 Config File Provider Plugin - CVE:2018-1000413 - 严重性:中 - 描述:配置文件的元数据未转义,导致存储的 XSS 漏洞。 Config File Provider Plugin - CVE:2018-1000419 - 严重性:中 - 描述:配置文件的元数据未转义,导致存储的 XSS 漏洞。 修复建议 升级受影响插件至最新版本。 检查并更新插件配置,确保遵循最佳安全实践。 影响版本和修复版本 影响版本:详见公告中的“Affected Versions”部分。 修复版本:详见公告中的“Fix”部分。 报告者和贡献者 报告者:Daniel Beck、Oleg Nenashev 等。 贡献者:Jenkins 安全团队及相关插件维护者。