一、事件描述
近日,广西教育系统网络安全监测中心监测到jenkins官方发布安全公告,修复了jenkins server中发现的跨站脚本漏洞。jenkins 2.270-2.393、lts 2.277.1- 2.375.3在插件管理器中呈现错误消息,说明其与当前版本的jenkins不兼容时,不会转义插件所依赖的 jenkins 版本,可能导致受到存储型xss漏洞攻击。
jenkins是一个开源软件项目,是基于java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。
二、影响范围
2.270 <= jenkins <= 2.393
2.277.1 <= jenkins lts <= 2.375.3
三、漏洞等级
广西教育系统网络安全监测中心将该漏洞评级为高危。
四、安全建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:jenkins server版本:升级到 2.394、lts 2.375.4 或lts 2.387.1。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接:
https://www.jenkins.io/security/advisory/2023-03-08/
