Jenkins是一种流行的开源自动化服务器,是许多开发和运营团队的重要工具。最近的安全咨询强调了Jenkins插件中的几个关键漏洞,对Jenkins安装构成重大风险。

CVE-2025-47884:通过OpenID Connect提供商插件构建代币渗透(CVSS 9.1)

新披露的漏洞中最严重的缺陷是CVE-2025-47884,它影响了OpenID Connect Provider插件。Jenkins安全研究人员透露,environment该插件的构建ID令牌生成依赖于可过重的环境变量 – 这是一个主要的疏忽。

“构建 ID 令牌的默认声明模板使用 JOB_URL 环境变量用于子(主体)声明,”该咨询指出。

当安装像Environment Injector插件这样的插件时,具有配置作业能力的攻击者可以制作冒充受信任的作业的令牌,从而可能获得对外部服务的未经授权的访问。

CVE-2025-47885:通过CloudBees插件将XSS存储在健康顾问中(CVSS 8.8)

CloudBees Plugin在Health Advisor中也发现了一个存储的跨站点脚本漏洞。

“CloudBees Plugin 374.v194b_d4f0c8c8 及更早的健康顾问不会逃避Jenkins Health Advisor服务器的响应。

控制来自 Health Advisor 服务器响应的攻击者可以注入恶意 JavaScript,然后在未来用户访问 Jenkins 的上下文中持续存储和执行。

CVE-2025-47889:WSO2 宣誓插件中的身份验证旁路(CVSS 9.8)

也许更令人担忧的是CVE-2025-47889,影响了WSO2宣誓插件。这个错误允许未经身份验证的攻击者使用任何用户名和密码登录,即使是不存在的。

“身份验证声明未经’WSO2 Oauth’安全领域的验证即可被接受,”该咨询解释说。

在授权策略允许“登录用户”完全权限的设置中,此漏洞可能会立即将攻击者升级到管理员级别。目前没有固定。

其他值得注意的问题

Cadence vManager 插件(CVE-2025-47886,CVE-2025-47887):无法执行权限检查,不需要POST请求,导致CSRF和权限升级的可能性。DingTalk插件(CVE-2025-47888):完全禁用SSL/TLS证书验证,使通信面临MITM攻击的风险。尚未发布补丁。

缓解和补丁建议

修复程序目前可用于以下插件:

OpenID Connect 提供商插件 → 更新至 111.v29fd614b_3617健康顾问由 CloudBees 插件 → 更新至 374.376.v3a_41a_a_142efeCadence vManager 插件 → 更新至 4.0.1-288.v8804b_ea_a_cb_7f

对于 WSO2 Oauth 和 DingTalk 插件,请立即卸载或限制其使用,直到发布官方补丁。