Fdevans

**Name of the Vulnerable Software and Affected Versions** Rundeck versions prior to 4.17.3 **Description** The issue allows authenticated users to access certain URL paths without necessary authorization checks, providing a list of job names and groups for any project. The affected URLs are "http[s]://[host]/context/rdJob/*" and "http[s]://[host]/context/api/*/incubator/jobs". The output of these endpoints only exposes the name of job groups and the jobs contained within the specified project, and the access does not allow changes to the information. **Recommendations** For versions prior to 4.17.3, upgrade to version 4.17.3 to resolve the issue. As a temporary workaround, consider blocking access to the URLs "http[s]://[host]/context/rdJob/*" and "http[s]://[host]/context/api/*/incubator/jobs" at a load balancer level.

**Nome do software vulnerável e versões afetadas** Versões do Rundeck anteriores à 3.4.5 Versões do Rundeck anteriores à 3.3.15 **Descrição** O Rundeck é um serviço de automação de código aberto com um console web, ferramentas de linha de comando e uma WebAPI. Um usuário autenticado com autorização para ler webhooks em um projeto pode criar uma solicitação para revelar definições e tokens de webhooks em outro projeto. O usuário poderia usar os tokens de webhooks revelados para acionar webhooks. A gravidade depende do nível de confiança dos usuários autenticados e da existência de webhooks que acionem ações confidenciais. **Recomendações** Para versões anteriores à 3.4.5, atualize para a versão 3.4.5 para resolver o problema. Para versões anteriores à 3.3.15, atualize para a versão 3.3.15 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Rundeck anteriores à 3.4.5 **Descrição** O Rundeck é um serviço de automação de código aberto com um console web, ferramentas de linha de comando e uma WebAPI. Nas versões anteriores à 3.4.5, usuários autenticados podiam criar uma solicitação para modificar ou excluir calendários no nível do sistema ou do projeto, sem a devida autorização. A modificação ou remoção de calendários poderia fazer com que tarefas agendadas fossem executadas, ou não fossem executadas, nos dias desejados do calendário. A gravidade depende do nível de confiança dos usuários autenticados e do impacto da execução ou não de tarefas agendadas nos dias regidos pelas definições do calendário. **Recomendações** Para versões anteriores à 3.4.5, atualize para a versão 3.4.5 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de modificação do calendário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Rundeck anteriores à 3.3.14 Versões do Rundeck anteriores à 3.4.3 **Descrição** O Rundeck é um serviço de automação de código aberto com um console web, ferramentas de linha de comando e uma WebAPI. Um usuário com acesso `admin` ao tipo de recurso `system` está potencialmente vulnerável a um ataque CSRF que poderia fazer com que o servidor executasse código não confiável em todas as edições do Rundeck. **Recomendações** Para versões anteriores à 3.3.14, atualize para a versão 3.3.14 ou posterior. Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior. Como solução temporária, considere restringir o acesso ao tipo de recurso `system` para usuários com acesso `admin` até que um patch seja aplicado.