Yo creo que es un falso positivo de seguro alguna herramienta automatizada usaron. mi humilde opinion, en caso de que alguien sepa el "como" por favor explicar. 

amigo a ver te explico csrf necesita hacer una peticion que cambiara valores de la victima que este logeada en ese lugar , como tambien se puede hacer un robo de session una que otra cosa mas pero , para que eso suceda tienen que hacer una peticion a un formulario o alguna cosa que grabe datos , es muy estupido que te hayan dicho que tienen un csrf en jquery lo mas posible es que utilizaron algo automatizado o que los que te hicieron la auditoria sean novatos.

esa es mi humilde opinion soy infomatico con conocimientos intermedio , ya echo algunas pruebas de csrf en forma etica y e podido determinar lo que dije anteriormente , siempre manejando la etica que vivan los hackers eticos a la mrd lo crackers o black hat.