关键漏洞信息 1. 存储型XSS漏洞 CVE编号: CVE-2026-27099 严重程度: 高 描述: - Jenkins 2.483 及以上版本中,节点离线原因描述使用了HTML,且在渲染时未对用户输入的内容进行转义。 - 攻击者利用此漏洞,可以通过拥有Agent/Configure或Agent/Disconnect权限执行跨站脚本攻击。 - Jenkins 2.551 及其后续版本,LTS 2.541.2 及其后续版本修复了此漏洞。 - 使用Content Security Policy可进一步缓解Jenkins 2.539及以上版本的此漏洞。 2. 通过运行参数暴露构建信息的漏洞 CVE编号: CVE-2026-27100 严重程度: - SECURITY-3658: 中等 - SECURITY-3669: 高 描述: - Jenkins 2.550及其之前的版本,LTS 2.541.1及之前的版本允许用户通过构建参数获取用户没有权限访问的构建信息。 - 攻击者利用此漏洞,可获得关于存在构建任务、构建信息及指定构建的显示名称。 - Jenkins 2.551,LTS 2.541.2及其后续版本拒绝了构建时构建参数引用的,用户没有权限访问的构建。 影响版本 Jenkins weekly: 2.550及之前的版本 Jenkins LTS: 2.541.1及之前的版本 修复方案 Jenkins weekly应更新至2.551或更高版本 Jenkins LTS应更新至2.541.2或更高版本 漏洞报告 SECURITY-3669: 由Muhammed Niazy(Wolfman)报告 SECURITY-3658: 由Suman Roy报告,通过Jenkins Bug Bounty Program上报