关键信息摘录 漏洞详情 XXE漏洞在CVS插件 - SEVERITY-2146 / CVE-2020-2324 - 严重性(CVSS): 高 - 描述: CVS插件2.16及以下版本未配置XML解析器以防止XML外部实体(XXE)攻击,可能导致敏感信息泄露或服务端请求伪造。 插件安装管理器工具未验证插件下载 - SEVERITY-1856 / CVE-2020-2320 - 严重性(CVSS): 高 - 描述: 插件安装管理器工具2.1.3以及更早版本未验证插件下载,可能导致第三方提供恶意插件下载。 CSRF漏洞在Shelve项目插件 - SEVERITY-2108 / CVE-2020-2321 - 严重性(CVSS): 高 - 描述: Shelve项目插件3.0及更早版本未对HTTP端点执行POST请求,可能导致跨站请求伪造(CSRF)漏洞。 Chaos Monkey插件缺少权限检查 - SEVERITY-2109 (1) / CVE-2020-2322 - 严重性(CVSS): 中 - SEVERITY-2109 (2) / CVE-2020-2323 - 严重性(CVSS): 中 - 描述: Chaos Monkey插件0.4以及更早版本在某些HTTP端点未执行权限检查,导致具有整体/读取权限的攻击者可以生成负载和产生内存泄漏。 漏洞严重性 SEVERITY-1856: 高 SEVERITY-2108: 高 SEVERITY-2109 (1): 中 SEVERITY-2109 (2): 中 SEVERITY-2146: 高 影响版本 Chaos Monkey插件 <= 0.3 要更新到0.4 Chaos Monkey插件 <= 0.4 要更新到0.4.1 CVS插件 <= 2.16 要更新到2.17 Shelve项目插件 <= 3.0 要更新到3.1 插件安装管理器工具 <= 2.1.3 要更新到2.2.0 修复方案 受影响的插件需升级至指定版本以修复上述提到的漏洞。 致谢 Daniel Beck, CloudBees, Inc. 报告了SEVERITY-1856, SECURITY-2146漏洞。