漏洞关键信息 1. Script Security Plugin: 沙箱绕过漏洞 CVE编号: SECURITY-2020 / CVE-2020-2279 严重性: High 受影响插件: script-security 描述: 攻击者可以绕过沙箱保护,执行任意代码。 修复: 更新到指定版本。 2. warnings Plugin: CSRF 漏洞允许远程代码执行 CVE编号: SECURITY-2042 / CVE-2020-2280 严重性: High 受影响插件: warnings 描述: 攻击者可以执行任意代码。 修复: 更新到指定版本。 3. Lockable Resources Plugin: CSRF 漏洞 CVE编号: SECURITY-1958 / CVE-2020-2281 严重性: Medium 受影响插件: lockable-resources 描述: 攻击者可以执行受保护的操作。 修复: 更新到指定版本。 4. Implied Labels Plugin: 缺少权限检查 CVE编号: SECURITY-2004 / CVE-2020-2282 严重性: Medium 受影响插件: implied-labels 描述: 攻击者可以重新配置插件。 修复: 更新到指定版本。 5. Liquibase Runner Plugin: 存储型 XSS 漏洞 CVE编号: SECURITY-1885 / CVE-2020-2283 严重性: High 受影响插件: liquibase-runner 描述: 攻击者可以执行跨站脚本攻击。 修复: 更新到指定版本。 6. Liquibase Runner Plugin: XXE 漏洞 CVE编号: SECURITY-1887 / CVE-2020-2284 严重性: High 受影响插件: liquibase-runner 描述: 攻击者可以进行 XML 外部实体攻击。 修复: 更新到指定版本。 7. Liquibase Runner Plugin: 缺少权限检查 CVE编号: SECURITY-2030 / CVE-2020-2285 严重性: Medium 受影响插件: liquibase-runner 描述: 攻击者可以枚举凭证 ID。 修复: 更新到指定版本。 漏洞严重性 High: SECURITY-1885, SECURITY-1887, SECURITY-2020, SECURITY-2042 Medium: SECURITY-1958, SECURITY-2004, SECURITY-2030 受影响版本 Implied Labels Plugin: 0.6 及以下版本 Liquibase Runner Plugin: 1.4.5 及以下版本 Lockable Resources Plugin: 2.8 及以下版本 Script Security Plugin: 1.74 及以下版本 warnings Plugin: 5.0.1 及以下版本 修复措施 更新受影响插件到指定版本