GHSA-v3f3-rf6r-43x5

Опубликовано: 10 дек. 2025

Источник: github

Github: Прошло ревью

CVSS3: 8

Описание

Jenkins Coverage Plugin has a stored cross-site scripting (XSS) vulnerability

Jenkins Coverage Plugin 2.3054.ve1ff7b_a_a_123b_ and earlier does not validate the configured coverage results ID when creating coverage results, only when submitting the job configuration through the UI, allowing attackers with Item/Configure permission to use a javascript: scheme URL as identifier by configuring the job through the REST API, resulting in a stored cross-site scripting (XSS) vulnerability.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:coverage

maven

Затронутые версииВерсия исправления

< 2.3056

2.3056

EPSS

Процентиль: 11%

0.00038

Низкий

8 High

CVSS3

CVE ID

CVE-2025-67641

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-67641

CVSS3: 5.4

nvd

около 2 месяцев назад

Jenkins Coverage Plugin 2.3054.ve1ff7b_a_a_123b_ and earlier does not validate the configured coverage results ID when creating coverage results, only when submitting the job configuration through the UI, allowing attackers with Item/Configure permission to use a `javascript:` scheme URL as identifier by configuring the job through the REST API, resulting in a stored cross-site scripting (XSS) vulnerability.

BDU:2026-00823

CVSS3: 8

fstec

2 месяца назад

Уязвимость плагина Coverage сервера автоматизации Jenkins, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 11%

0.00038

Низкий

8 High

CVSS3

CVE ID

CVE-2025-67641

Дефекты

CWE-79