发布日期：2020-07-01
更新日期：2020-07-10

受影响系统：

CloudBees Fortify on Demand Plugin <= 6.0.0

描述：

---

CVE(CAN) ID: CVE-2020-2202

CloudBees Jenkins是美国CloudBees公司的一套基于Java开发的持续集成工具，用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Fortify on Demand Plugin是其中一个支持从Jenkins上传代码以进行静态应用程序安全性测试的插件。
Fortify on Demand Plugin6.0.0 及之前版本存在信息泄露漏洞。该漏洞源于该插件缺乏权限检查。攻击者可利用该漏洞获取Jenkins中存储的有效凭证ID的列表。

<**>

建议：

---

厂商补丁：

CloudBees
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.jenkins.io/security/advisory/2020-07-02/#SECURITY-1691

浏览次数：913
严重程度：0（网友投票）