Localo

**Nome do software vulnerável e versões afetadas** Versões do Woodpecker anteriores à 2.7.0 **Descrição** O servidor permite que qualquer usuário crie e acione fluxos de trabalho maliciosos, o que pode levar à tomada de controle do host ou à extração de segredos normalmente fornecidos aos plug-ins. Essa vulnerabilidade pode ser explorada por meio do recurso de espaço de trabalho personalizado, que permite a sobrescrita dos executáveis de ponto de entrada dos plug-ins. **Recomendações** Para versões anteriores à 2.7.0, atualize para a versão 2.7.0 para resolver o problema. Como solução temporária, habilite o recurso de repositório “gated” e analise cada alteração antecipadamente para minimizar o risco de exploração. Restrinja o acesso ao recurso de espaço de trabalho personalizado para impedir a sobrescrita de executáveis de ponto de entrada de plug-ins até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Woodpecker anteriores à 2.7.0 **Descrição** A vulnerabilidade permite que invasores criem fluxos de trabalho maliciosos que podem levar ao controle do host ou ao vazamento de segredos. Isso é possível porque o servidor permite que qualquer usuário acione a execução de um pipeline, e esses fluxos de trabalho podem assumir o controle do host que executa o agente ou extrair segredos normalmente fornecidos aos plug-ins. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 2.7.0, atualize para a versão 2.7.0 para resolver o problema. Como solução alternativa temporária, habilite o recurso de repositório “gated” e revise cada alteração antes de executá-la. Não há outras soluções alternativas conhecidas para este problema.