Gitpod · Gitpod · CVE-2024-21583
**Nome do software vulnerável e versões afetadas**
github.com/gitpod-io/gitpod/components/server/go/pkg/lib versões anteriores à main-gha.27122
github.com/gitpod-io/gitpod/components/ws-proxy/pkg/proxy versões anteriores à main-gha.27122
github.com/gitpod-io/gitpod/install/installer/pkg/components/auth versões anteriores a main-gha.27122
github.com/gitpod-io/gitpod/install/installer/pkg/components/public-api-server versões anteriores a main-gha.27122
github.com/gitpod-io/gitpod/install/installer/pkg/components/server versões anteriores a main-gha.27122
@gitpod/gitpod-protocol versões anteriores a 0.1.5-main-gha.27122
**Descrição**
O problema se deve à ausência do prefixo Host- no cookie de sessão ` gitpod io jwt2 `, permitindo que um invasor que controle um subdomínio defina o valor do cookie no plano de controle do Gitpod. Isso pode ser atribuído ao próprio JWT do invasor, permitindo que ele execute ações específicas realizadas pela vítima, como conectar uma nova organização do GitHub.
**Recomendações**
Para versões do github.com/gitpod-io/gitpod/components/server/go/pkg/lib anteriores à main-gha.27122, atualize para uma versão posterior à main-gha.27122.
Para versões do github.com/gitpod-io/gitpod/components/ws-proxy/pkg/proxy anteriores à main-gha.27122, atualize para uma versão posterior à main-gha.27122.
Para versões do github.com/gitpod-io/gitpod/install/installer/pkg/components/auth anteriores à main-gha.27122, atualize para uma versão posterior à main-gha.27122.
Para versões do github.com/gitpod-io/gitpod/install/installer/pkg/components/public-api-server anteriores à