摘要：热门的开源自动化服务器Jenkins在上周的安全公告中披露5个插件程序的安全漏洞，其中，最严重的是WSO2 OAuth的身份验证绕过漏洞CVE-2025-47889，它的CVSS风险评分高达9.8，另一个同属重大（Critical）漏洞的是涉及OpenID C

热门的开源自动化服务器Jenkins在上周的安全公告中披露5个插件程序的安全漏洞，其中，最严重的是WSO2 OAuth的身份验证绕过漏洞CVE-2025-47889，它的CVSS风险评分高达9.8，另一个同属重大（Critical）漏洞的是涉及OpenID Connect的CVE-2025-47884，其CVSS风险评分为9.1。

WSO2 OAuth为Jenkins上的一个身份验证插件程序，可让用户通过OAuth 2.0协议登录Jenkins。然而，CVE-2025-47889允许黑客使用任意账号与密码登录Jenkins，包括不存在的用户名称，若授权政策设置为“登录用户拥有全部权限”，那么黑客即可直接取得管理员控制权，等于接管Jenkins。

由于CVE-2025-47889尚未被修补，用户应该直接停用它，改用其他的身份验证方式。

至于OpenID Connect Provider也为Jenkins上的身份验证插件程序，集成基于OpenID Connect（OIDC）的单点登录功能，还能替每个Jenkins任务生成ID Token，供外部服务验证身份。而当该插件程序使用环境变量来组装ID Token时，并未检查这些变量是否被恶意篡改过，而形成CVE-2025-47884漏洞，可能允许黑客冒充他人身份，或是污染供应链。

开发者已禁止使用被覆盖的环境变量生成Token，修补了CVE-2025-47884。

其他漏洞还包括涉及Health Advisor by CloudBees的CVE-2025-47885，与Cadence vManager有关的CVE-2025-47886与CVE-2025-47887，以及DingTalk的CVE-2025-47888。

其中，Health Advisor by CloudBees是专门用来分析Jenkins实例性能与安全状态的健康监测插件程序，可上传分析数据至CloudBees服务器并取得建议，而CVE-2025-47885则允许黑客伪造服务器回应，于Jenkins管理界面植入恶意程序，CVSS风险评分为8.8，被视为高风险漏洞。另外3个漏洞则被列为中度风险漏洞。

来源：小肖科技每日一讲