CVE-2025-24398

Nome do Software Vulnerável e Versões Afetadas Plugin de Integração do Jenkins Bitbucket Server versões 2.1.0 a 4.1.3

Descrição A vulnerabilidade permite que atacantes forjem URLs que contornariam a proteção CSRF de qualquer URL de destino no Jenkins. Isso se deve a uma implementação excessivamente permissiva no Plugin de Integração do Bitbucket Server, destinada a suportar autenticação OAuth 1.0. O plugin implementa um ponto de extensão que desabilita seletivamente a proteção contra falsificação de solicitação entre sites (CSRF) para URLs específicas, mas, nas versões 2.1.0 a 4.1.3, essa implementação é muito permissiva.

Recomendações Para as versões 2.1.0 a 4.1.3 do Plugin de Integração do Jenkins Bitbucket Server, atualize para a versão 4.1.4, que restringe as URLs para as quais a proteção CSRF é desabilitada apenas àquelas que necessitam dela. Como medida temporária, considere restringir o acesso ao plugin vulnerável até que uma correção seja aplicada.