广泛使用的开源自动化服务器 Jenkins 发布了一份安全公告，解决了影响其核心系统和相关插件的多个漏洞。这些漏洞从拒绝服务到跨站脚本，如果不及时修补，将给 Jenkins 用户带来重大风险。

通过 JSON 处理拒绝服务 (CVE-2024-47855)

在 Jenkins 的 JSON 处理库中发现了一个拒绝服务漏洞（CVSS 7.5）。正如公告所述，“在 Jenkins（不含插件）中，这允许拥有 Overall/Read 权限的攻击者无限期地保持 HTTP 请求处理线程繁忙，从而占用系统资源并阻止合法用户使用 Jenkins。”这意味着恶意行为者可以有效地关闭 Jenkins 实例，中断关键的开发流水线并造成严重的停机。

令人担忧的是，该公告还强调：“Jenkins 安全团队已经发现多个插件允许缺乏 Overall/Read 权限的攻击者进行同样的操作。这些插件包括 SonarQube Scanner 和 Bitbucket。”这扩大了攻击面，增加了安装了这些插件的 Jenkins 用户的风险。

简单队列插件中的存储 XSS (CVE-2024-54003)

在 Simple Queue 插件中发现了一个高度严重的存储 XSS 漏洞（CVSS 8.0）。该漏洞允许具有 “查看/创建 ”权限的攻击者注入恶意脚本，这些脚本可由其他用户执行，可能导致数据窃取、会话劫持或进一步的系统危害。

文件系统列表参数插件中的路径遍历 (CVE-2024-54004)

文件系统列表参数插件还包含一个漏洞（CVSS 4.3），允许拥有 “Item/Configure ”权限的攻击者 “枚举 Jenkins 控制器文件系统上的文件名”。虽然该漏洞被评为中等严重性，但它仍可为攻击者提供用于进一步攻击的宝贵信息。

缓解和补救措施

Jenkins 已发布更新版本来解决这些漏洞。强烈建议用户立即升级到最新版本：

• Jenkins 每周更新一次： 更新至版本 2.487
• Jenkins LTS：更新至版本 2.479.2
• 文件系统列表参数插件： 更新至版本 0.0.15
• 简单队列插件：更新至版本 1.4.5 更新至版本 1.4.5

公告强调：“这些版本包含对上述漏洞的修复。除非另有说明，否则所有先前版本均被视为受这些漏洞的影响。”

依赖 Jenkins 满足自动化需求的组织应优先考虑这些更新，以确保其 CI/CD 管道的安全性和完整性。