小心！Jenkins 发布安全更新，修复多个漏洞

影响产品：Active Choices Plugin

漏洞类型：XSS

漏洞描述：该漏洞是由于该插件不会转义反应参数和动态参考参数的参数名称， 这会导致一个可以被拥有Job/Configure权限的攻击者利用的存储型跨站脚本 (XSS) 漏洞。

影响产品：Scriptler Plugin

漏洞类型：XSS

漏洞描述：该漏洞是由于该插件在要求确认删除时不会转义 UI 上的脚本名称。这会导致一个可以被能够创建 Scriptler 脚本的攻击者利用的存储型跨站脚本 (XSS) 漏洞。

影响产品：Performance Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器来防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制工作区内容，让 Jenkins 解析精心制作的 XML 报告文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密 。

影响产品：pom2config Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许具有Overall/Read和Item/Read权限的攻击者让 Jenkins 解析精心制作的 XML 文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密 。 

影响产品：OWASP Dependency-Check Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制工作区内容，让 Jenkins 解析精心制作的 XML 文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密。

影响产品：Squash TM Publisher (Squash4Jenkins)  Plugin

漏洞类型：任意文件写入

漏洞描述：该漏洞是由于该插件实现了代理到控制器消息，该消息未实现对其输入的任何验证。这允许攻击者能够控制代理进程，用攻击者控制的 JSON 字符串替换 Jenkins 控制器文件系统上的任意文件。