Jenkins安全團(tuán)隊(duì)披露了影響Jenkins自動(dòng)化服務(wù)器中29個(gè)插件的數(shù)十項(xiàng)缺陷，其中大部分尚未得到修復(fù)。

Jenkins是最受歡迎的開(kāi)源自動(dòng)化服務(wù)器，它由CloudBees和Jenkins社區(qū)維護(hù)。該自動(dòng)化服務(wù)器支持開(kāi)發(fā)人員構(gòu)建、測(cè)試和部署他們的應(yīng)用程序，它在全球有數(shù)十萬(wàn)個(gè)活躍的安裝，用戶(hù)數(shù)量超過(guò)100萬(wàn)。

Jenkins的安全團(tuán)隊(duì)近日披露了影響Jenkins自動(dòng)化服務(wù)器中29個(gè)插件中的34個(gè)安全缺陷，其中29個(gè)安全缺陷還沒(méi)有被修復(fù)。

以下是Jenkins發(fā)布的公告中指出的漏洞：

• Build Notifications Plugin
• build-metrics Plugin
• Cisco Spark Plugin
• Deployment Dashboard Plugin
• Elasticsearch Query Plugin
• eXtreme Feedback Panel Plugin
• Failed Job Deactivator Plugin
• GitLab Plugin
• HPE Network Virtualization Plugin
• Jigomerge Plugin
• Matrix Reloaded Plugin
• OpsGenie Plugin
• Plot Plugin
• Project Inheritance Plugin
• Recipe Plugin
• Request Rename Or Delete Plugin
• requests-plugin Plugin
• Rich Text Publisher Plugin
• RocketChat Notifier Plugin
• RQM Plugin
• Skype notifier Plugin
• TestNG Results Plugin
• Validating Email Parameter Plugin
• XebiaLabs XL Release Plugin
• XPath Configuration Viewer Plugin

這些漏洞的嚴(yán)重程度從低到高不等，截至公告發(fā)布時(shí)，以下漏洞還沒(méi)有被修復(fù)：

• Build Notifications Plugin
• build-metrics Plugin
• Cisco Spark Plugin
• Deployment Dashboard Plugin
• Elasticsearch Query Plugin
• eXtreme Feedback Panel Plugin
• Failed Job Deactivator Plugin
• HPE Network Virtualization Plugin
• Jigomerge Plugin
• Matrix Reloaded Plugin
• OpsGenie Plugin
• Plot Plugin
• Project Inheritance Plugin
• Recipe Plugin
• Request Rename Or Delete Plugin
• Rich Text Publisher Plugin
• RocketChat Notifier Plugin
• RQM Plugin
• Skype notifier Plugin
• Validating Email Parameter Plugin
• XPath Configuration Viewer Plugin

未修補(bǔ)的漏洞列表包括XSS、跨站請(qǐng)求偽造（CSRF）、缺失或不正確的權(quán)限檢查，以及以純文本存儲(chǔ)的密碼、API密鑰和令牌。

以下則是公告發(fā)布時(shí)，已經(jīng)通過(guò)補(bǔ)丁解決的漏洞：

• GitLab Plugin應(yīng)更新至1.5.35版本
• requests-plugin Plugin應(yīng)更新至2.2.17版
• TestNG Results Plugin應(yīng)更新至555.va0d5f66521e3版本
• XebiaLabs XL Release Plugin應(yīng)更新至22.0.1版本