dingtalk-plugin icon indicating copy to clipboard operation
dingtalk-plugin copied to clipboard
verified publisher icon jenkinsci

Jenkins 报告这个插件存在安全问题

Open huxiang opened this issue 7 months ago • 5 comments

Image Image

请尽快修复,谢谢!

huxiang avatar May 21 '25 01:05 huxiang

哥,虽然你是好心提醒,但是这语气可以再委婉点啊。

nadirvishun avatar May 21 '25 02:05 nadirvishun

哥,虽然你是好心提醒,但是这语气可以再委婉点啊。

不好意思,被公司安全带坏了,公司安全事件结尾总是“请立即处理,不然上报至...”。 这个问题出来有一段时间了,一直在 Jenkins 管理页醒目置顶,每次打开神经总是一紧..

huxiang avatar May 21 '25 03:05 huxiang

https://github.com/jenkinsci/dingtalk-plugin/blob/fd517582b7f6085ad7e8071131fd65d48bf90244/src/main/java/io/jenkins/plugins/sdk/HttpRequest.java#L100-L124

现在jenkins都要求java11+了,应该都包含了最新的证书信任库了吧,感觉直接修改下面两个为false就能解决此问题吧: https://github.com/jenkinsci/dingtalk-plugin/blob/fd517582b7f6085ad7e8071131fd65d48bf90244/src/main/java/io/jenkins/plugins/sdk/HttpRequest.java#L39-L41

nadirvishun avatar May 30 '25 02:05 nadirvishun

老板,什么时候可以好?

jaimyjie avatar Jun 16 '25 09:06 jaimyjie

近期有点忙 有时间了一定处理!!!! 其实这个"安全问题" 真实危害基本不会出现 最多被中间人攻击把你发出去的通知消息拿到了 但是触发条件也是非常之苛刻了

BobDu avatar Jun 16 '25 09:06 BobDu