Jenkins 多插件安全公告：RCE/XSS/反序列化漏洞 (CVE-2026-42519至42525)

Jenkins 安全公告 2026-04-29 漏洞总结 漏洞概述 本次公告涉及 Jenkins 多个插件的安全漏洞，主要包括权限检查缺失、路径遍历、反序列化漏洞、跨站脚本（XSS）及开放重定向等问题。 1. Script Security 插件：枚举 pending 和 approved classpath CVE: CVE-2026-42519 严重程度: Medium 描述: 旧版本插件在 HTTP 端点中未执行权限检查，允许具有 Overall/Read 权限的攻击者枚举 pending 和 approved Script Security classpath。 2. Credentials Binding 插件：路径遍历漏洞 CVE: CVE-2026-42520 严重程度: High 描述: 插件未对文件名的文件部分和 zip 文件凭据进行清理。攻击者可利用此漏洞将凭据写入节点文件系统上的任意位置，若配置允许低权限用户配置凭据，可导致远程代码执行。 3. Matrix Authorization Strategy 插件：不安全反序列化 CVE: CVE-2026-42521 严重程度: Medium 描述: 插件在反序列化继承策略时未限制可实例化的类，允许具有 Item/Configure 权限的攻击者实例化任意类型，可能导致信息泄露。 4. GitHub Branch Source 插件：连接测试权限检查缺失 CVE: CVE-2026-42522 严重程度: Medium 描述: 插件在实现表单验证的方法中未执行权限检查，允许具有 Overall/Read 权限的攻击者连接到攻击者指定的 URL。 5. GitHub 插件：XSS 漏洞 CVE: CVE-2026-42523 严重程度: High 描述: 插件在处理 "GitHub hook trigger for GITScm polling" 功能时，未正确转义当前作业 URL，导致存储型跨站脚本（XSS）漏洞。 6. HTML Publisher 插件：XSS 漏洞 CVE: CVE-2026-42524 严重程度: High 描述: 插件在 legacy wrapper 文件中未转义作业名称和 URL，导致存储型跨站脚本（XSS）漏洞。 缓解措施: 在 Jenkins 2.539 及更新版本（LTS 2.541.1 及更新版本）中，强制执行 Content Security Policy 可缓解此漏洞。 7. Microsoft Entra ID (Azure AD) 插件：开放重定向漏洞 CVE: CVE-2026-42525 严重程度: Medium 描述: 插件在登录后未限制重定向 URL，允许攻击者通过钓鱼攻击将用户重定向到不同站点。 影响范围 Credentials Binding Plugin: 719.v80e905ef14eb_ 及更早版本 GitHub Plugin: 1.46.0 及更早版本 GitHub Branch Source Plugin: 1967.vdea_d580c1a_b_a_ 及更早版本 HTML Publisher Plugin: 427 及更早版本 Matrix Authorization Strategy Plugin: 3.2.9 及更早版本 Microsoft Entra ID (Azure AD) Plugin: 666.v6060de32f87d 及更早版本 Script Security Plugin: 1399.ve6a_66547f6e1 及更早版本 修复方案 建议将受影响的插件更新至以下版本： Credentials Binding Plugin: 720.v3f6dcef43ea_ GitHub Plugin: 1.46.0.1 GitHub Branch Source Plugin: 1967.1969.v205fd594c821 HTML Publisher Plugin: 427.1 Matrix Authorization Strategy Plugin: 3.2.10 Microsoft Entra ID (Azure AD) Plugin: 667.v4c5827a_e74a_0 Script Security Plugin: 1402.v94c9ce464861

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins 多插件安全公告：RCE/XSS/反序列化漏洞 (CVE-2026-42519至42525)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！