Jenkins安全团队披露了29个受0Day漏洞影响的插件

Jenkins安全团队披露了影响Jenkins自动化服务器中29个插件的全团数十项缺陷，其中大部分尚未得到修复 。队披的插

Jenkins是露个漏洞最受欢迎的开源自动化服务器，高防服务器它由CloudBees和Jenkins社区维护。影响该自动化服务器支持开发人员构建、全团测试和部署他们的队披的插应用程序，它在全球有数十万个活跃的模板下载露个漏洞安装 ，用户数量超过100万。影响

Jenkins的全团安全团队近日披露了影响Jenkins自动化服务器中29个插件中的34个安全缺陷，其中29个安全缺陷还没有被修复 。服务器租用队披的插

以下是露个漏洞Jenkins发布的公告中指出的漏洞：

Build Notifications Pluginbuild-metrics PluginCisco Spark PluginDeployment Dashboard PluginElasticsearch Query PlugineXtreme Feedback Panel PluginFailed Job Deactivator PluginGitLab PluginHPE Network Virtualization PluginJigomerge PluginMatrix Reloaded PluginOpsGenie PluginPlot PluginProject Inheritance PluginRecipe PluginRequest Rename Or Delete Pluginrequests-plugin PluginRich Text Publisher PluginRocketChat Notifier PluginRQM PluginSkype notifier PluginTestNG Results PluginValidating Email Parameter PluginXebiaLabs XL Release PluginXPath Configuration Viewer Plugin

这些漏洞的严重程度从低到高不等，源码下载截至公告发布时，影响以下漏洞还没有被修复：

Build Notifications Pluginbuild-metrics PluginCisco Spark PluginDeployment Dashboard PluginElasticsearch Query PlugineXtreme Feedback Panel PluginFailed Job Deactivator PluginHPE Network Virtualization PluginJigomerge PluginMatrix Reloaded PluginOpsGenie PluginPlot PluginProject Inheritance PluginRecipe PluginRequest Rename Or Delete PluginRich Text Publisher PluginRocketChat Notifier PluginRQM PluginSkype notifier PluginValidating Email Parameter PluginXPath Configuration Viewer Plugin

未修补的全团漏洞列表包括XSS、跨站请求伪造（CSRF）、队披的插缺失或不正确的亿华云露个漏洞权限检查 ，以及以纯文本存储的密码、API密钥和令牌。

以下则是公告发布时，云计算已经通过补丁解决的漏洞：

GitLab Plugin应更新至1.5.35版本requests-plugin Plugin应更新至2.2.17版TestNG Results Plugin应更新至555.va0d5f66521e3版本XebiaLabs XL Release Plugin应更新至22.0.1版本