GHSA-qjw6-xvrm-5f2h

Опубликовано: 22 янв. 2025

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

Bitbucket Server Integration Plugin allows bypassing CSRF protection for any URL

An extension point in Jenkins allows selectively disabling cross-site request forgery (CSRF) protection for specific URLs. Bitbucket Server Integration Plugin implements this extension point to support OAuth 1.0 authentication.

In Bitbucket Server Integration Plugin 2.1.0 through 4.1.3 (both inclusive) this implementation is too permissive, allowing attackers to craft URLs that would bypass the CSRF protection of any target URL.

Bitbucket Server Integration Plugin 4.1.4 restricts which URLs it disables cross-site request forgery (CSRF) protection for to the URLs that needs it.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:atlassian-bitbucket-server-integration

maven

Затронутые версииВерсия исправления

>= 2.1.0, < 4.1.4

4.1.4

EPSS

Процентиль: 28%

0.001

Низкий

8.8 High

CVSS3

CVE ID

CVE-2025-24398

Дефекты

CWE-352

Связанные уязвимости

CVE-2025-24398

CVSS3: 8.8

nvd

около 1 года назад

Jenkins Bitbucket Server Integration Plugin 2.1.0 through 4.1.3 (both inclusive) allows attackers to craft URLs that would bypass the CSRF protection of any target URL in Jenkins.

BDU:2025-02399

CVSS3: 8.8

fstec

около 1 года назад

Уязвимость плагина интеграции Jenkins Bitbucket Server Integration Plugin, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 28%

0.001

Низкий

8.8 High

CVSS3

CVE ID

CVE-2025-24398

Дефекты

CWE-352