Jenkins 7个插件安全漏洞公告 (CVE-2026-42519至42525)

Jenkins 安全公告 2026-04-29 漏洞总结 漏洞概述 本次公告涉及 7 个安全漏洞，涵盖权限检查缺失、路径遍历、不安全反序列化、跨站脚本（XSS）及开放重定向等问题。 1. Script Security Plugin 权限检查缺失 CVE: CVE-2026-42519 严重程度: Medium 描述: 旧版本插件未执行权限检查，允许具有 权限的攻击者枚举待处理和已批准的 Classpath。 2. Credentials Binding Plugin 路径遍历漏洞 CVE: CVE-2026-42520 严重程度: High 描述: 插件未对文件名进行清理，攻击者可利用此漏洞将凭据写入节点文件系统上的任意位置，可能导致远程代码执行。 3. Matrix Authorization Strategy Plugin 不安全反序列化 CVE: CVE-2026-42521 严重程度: Medium 描述: 插件在反序列化继承策略时未限制可实例化的类，攻击者可实例化任意类型，导致信息泄露或其他影响。 4. GitHub Branch Source Plugin 权限检查缺失 CVE: CVE-2026-42522 严重程度: Medium 描述: 插件未执行权限检查，允许具有 权限的攻击者连接到攻击者指定的 URL 以进行连接测试。 5. GitHub Plugin 跨站脚本 (XSS) CVE: CVE-2026-42523 严重程度: High 描述: 插件在处理 "GitHub hook trigger for GITScm polling" 功能时未正确转义当前作业 URL，导致存储型 XSS。 6. HTML Publisher Plugin 跨站脚本 (XSS) CVE: CVE-2026-42524 严重程度: High 描述: 插件在生成旧版包装器文件时未转义作业名称和 URL，导致存储型 XSS。 7. Microsoft Entra ID (Azure AD) Plugin 开放重定向 CVE: CVE-2026-42525 严重程度: Medium 描述: 插件未限制登录后的重定向 URL，攻击者可利用此漏洞将用户重定向到不同站点以进行网络钓鱼。 --- 影响范围 --- 修复方案 建议将受影响的插件更新至以下版本： Credentials Binding Plugin: 更新至 GitHub Plugin: 更新至 GitHub Branch Source Plugin: 更新至 HTML Publisher Plugin: 更新至 Matrix Authorization Strategy Plugin: 更新至 Microsoft Entra ID (Azure AD) Plugin: 更新至 Script Security Plugin: 更新至 注意: 对于 HTML Publisher Plugin，在 Jenkins 2.539 及更新版本（LTS 2.541.1 及更新版本）上，强制执行 Content Security Policy 可缓解此漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins 7个插件安全漏洞公告 (CVE-2026-42519至42525)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！