BDU:2026-00823

Опубликовано: 03 дек. 2025

Источник: fstec

CVSS3: 8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость плагина Coverage сервера автоматизации Jenkins связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Вендор

CD Foundation

Наименование ПО

Coverage

Версия ПО

до 2.3056.v1dfe888b_0249 (Coverage)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.jenkins.io/security/advisory/2025-12-10/#SECURITY-3611

https://plugins.jenkins.io/coverage/releases/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-67641
CVE

EPSS

Процентиль: 11%

0.00038

Низкий

8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-67641

CVSS3: 5.4

nvd

около 2 месяцев назад

Jenkins Coverage Plugin 2.3054.ve1ff7b_a_a_123b_ and earlier does not validate the configured coverage results ID when creating coverage results, only when submitting the job configuration through the UI, allowing attackers with Item/Configure permission to use a `javascript:` scheme URL as identifier by configuring the job through the REST API, resulting in a stored cross-site scripting (XSS) vulnerability.

GHSA-v3f3-rf6r-43x5