近日,Jenkins发布了Server,update-center2的风险通告,漏洞编号为CVE-2023-27898,CVE-2023-27905,漏洞等级:高危,漏洞评分:7。
Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
一、漏洞介绍
该漏洞存在于Jenkins 2.270-2.393、LTS 2.277.1- 2.375.3插件管理器中,是一个跨站脚本漏洞。当插件管理器中呈现错误消息时,未转义其部分字段信息,导致受到存储型XSS漏洞攻击,攻击者可利用该漏洞向配置的更新站点提供插件,并让Jenkins页面显示此消息进而触发漏洞
风险等级:高风险。
二、漏洞影响
影响范围:Jenkins:Server 2.270 - 2.393,Jenkins:update-center2 <= 3.14
三、修复建议
根据影响版本中的信息,排查并升级到安全版本。或直接访问参考链接获取官方更新指南。
下载链接:https://www.jenkins.io/download/
