文章总结： JenkinsCore披露两枚漏洞。CVE-2026-27099为高危存储型XSS，源于节点离线原因描述未转义，攻击者可注入脚本窃取会话。CVE-2026-27100为中危信息泄露，允许查询未授权构建信息。受影响版本为Jenkins≤2.550及LTS≤2.541.1。官方已发布2.551及LTS2.541.2修复，建议管理员立即升级并配置CSP以规避风险。 综合评分： 80 文章分类： 漏洞预警,漏洞分析,应用安全

Jenkins 存在严重漏洞导致建环境易受 XSS 攻击

原创

ZM ZM

暗镜

2026年2月21日 07:00 辽宁

安全公告揭示了 Jenkins Core 中的多个漏洞，包括一个存储型跨站脚本 (XSS) 漏洞，该漏洞可能使构建环境面临严重的安全风险。

这些问题被确定为 CVE-2026-27099 和 CVE-2026-27100，并根据欧盟委员会赞助的Jenkins漏洞赏金计划进行了负责任的披露。

其中最严重的一个漏洞，编号为 CVE-2026-27099，是一个高危存储型 XSS 漏洞，会影响 Jenkins 2.550 及更早版本，以及 LTS 2.541.1 及更早版本。

该缺陷源于 Jenkins 处理“离线原因描述”的方式，该描述解释了构建节点离线的原因。

自 2.483 版本起，这些描述允许 HTML 内容，但在易受攻击的版本中，输入内容没有被正确转义。

| CVE ID | CVSS评分 | 描述 | 受影响版本 | | — | — | — | — | | CVE-2026-27099 | 高的 | 节点离线原因描述中存储的 XSS 漏洞 | 詹金斯 ≤ 2.550，LTS ≤ 2.541.1 | | CVE-2026-27100 | 中等的 | 通过运行参数披露构建信息 | 詹金斯 ≤ 2.550，LTS ≤ 2.541.1 |

拥有 Agent/Configure 或 Agent/Disconnect 权限的攻击者可以将恶意 JavaScript 注入到离线原因描述中，从而可能危及其他用户的会话。

Jenkins 版本 2.551 和 LTS 2.541.2 通过转义用户提供的输入来解决此问题。

此外，在 Jenkins 2.539 及更高版本上强制执行内容安全策略 (CSP) 的实例 可以部分抵御这些攻击。

第二个漏洞 CVE-2026-27100，严重程度为中等，会影响 Jenkins 处理运行参数值的方式。

在受影响的 2.550 及更早版本（以及 LTS 2.541.1）中，用户可以查询他们没有权限访问的构建或作业。

这使得攻击者能够确定是否存在特定的项目或构建，从而可能导致 Jenkins 环境中的信息泄露。

Jenkins 2.551 和 LTS 2.541.2 现在可以正确拒绝未经授权的运行参数值，从而防止此类数据泄露。

强烈建议 Jenkins 管理员更新至最新版本 2.551 或 LTS 2.541.2，以缓解这两个漏洞。依赖旧版本的构建仍然存在脚本注入和构建信息未经授权泄露的风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Jenkins 存在严重漏洞导致建环境易受 XSS 攻击》