# 003_DevOps安全漏洞说明及补丁方案
注:DevOps中集成的jenkins,gitlab,nexus,sonarqube等三方工具的漏洞,建议升级到官方修复的版本
| 序号 | 产品版本 | 小补丁号 | 补丁主题 | 补丁说明 | 备注 |
| 1 | DevOps6.2 | DEVOPS_6.2_SERVER_20230607_P1 | DevOps6.2GA,修复个人头像上传后端接口添加文件后缀及文件大小限制;主机资源连通性日志返回主机密码敏感信息;debug模式关闭后可以查看debug接口和swagger.json | 修复渗透测试问题:1、Swagger接口泄露;2、多个接口未授权访问;3、任意文件读取;4、任意文件上传;5、越权漏洞-可获取到ssh密码 | |
| 2 | DevOps6.5 | DEVOPS_6.5_SERVER_20240222_P1 | 解决嵌入式版本tomcat9.0.75漏洞:CVE-2023-46589、CVE-2023-42794、CVE-2023-28709 | tomcat已升级至9.0.86版本 | |
| 3 | DEVOPS_6.5_SERVER_20240513_P1 | 修复FasterXML jackson-databind(CVE-2019-14540)代码问题漏洞 | |||
| 4 | DevOps6.7 | DEVOPS_6.7_ALL_20250704_P1 | 修复Apache MINA 注入漏洞(CVE-2024-52046) |