Jordan Sussman

**Nome do software vulnerável e versões afetadas** Versões 0.7.0 a 0.7.4 do Vela **Descrição** O problema diz respeito a um mecanismo de autenticação adicionado na versão 0.7.0 do Vela, que permite que usuários mal-intencionados obtenham segredos utilizando credenciais injetadas no arquivo `~/.netrc`. Isso pode ser feito criando um servidor Vela, fazendo login na interface do usuário do Vela, promovendo-se a administrador do Vela, ativando um repositório e adicionando um arquivo `.vela.yml` com conteúdo específico ao repositório. A vulnerabilidade permite o acesso a segredos, que podem ser obtidos executando um script com configurações específicas do ambiente. **Recomendações** Para as versões 0.7.0 a 0.7.4 do Vela, atualize para a versão 0.7.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `~/.netrc` e ao endpoint da API `github.com/go-vela/server` para minimizar o risco de exploração. Evite usar a variável de ambiente `VELA TOKEN` no endpoint da API afetado até que o problema seja resolvido.