GHSA-hcfh-qjcp-34q9

Опубликовано: 02 апр. 2025

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Simple Queue Plugin Cross-Site Request Forgery (CSRF)

Jenkins Simple Queue Plugin 1.4.6 and earlier does not require POST requests for multiple HTTP endpoints, resulting in cross-site request forgery (CSRF) vulnerabilities.

These vulnerabilities allow attackers to change and reset the build queue order.

Simple Queue Plugin 1.4.7 requires POST requests for the affected HTTP endpoints.

Administrators can enable equivalent HTTP endpoints without CSRF protection via the global configuration.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:simple-queue

maven

Затронутые версииВерсия исправления

< 1.4.7

1.4.7

EPSS

Процентиль: 20%

0.00065

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-31723

Дефекты

CWE-352

Связанные уязвимости

CVE-2025-31723

CVSS3: 4.3

nvd

10 месяцев назад

A cross-site request forgery (CSRF) vulnerability in Jenkins Simple Queue Plugin 1.4.6 and earlier allows attackers to change and reset the build queue order.

EPSS

Процентиль: 20%

0.00065

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2025-31723

Дефекты

CWE-352