Rui42

**Nome do software vulnerável e versões afetadas** Versões 6.x.y do Concourse anteriores à 6.7.9 Versões 7.x.y do Concourse anteriores à 7.8.3 **Descrição** A vulnerabilidade consiste em uma falha de autorização que permite a um usuário do Concourse enviar uma solicitação com um corpo incluindo `:team name=team2` para contornar as verificações de escopo da equipe e obter acesso a determinados recursos pertencentes a qualquer outra equipe. Isso pode ser feito explorando pontos de extremidade específicos da API, como "/api/v1/teams/:team name/pipelines/:pipeline name/jobs/: job name/builds/:build name“ com o método POST, ou ”/api/v1/teams/:team name/pipelines/:pipeline name/jobs/:job name/pause" com o método PUT. O usuário precisa apenas de uma sessão válida e pertencer à equipe2. **Recomendações** Para versões do Concourse 6.x.y anteriores à 6.7.9, atualize para a versão 6.7.9 para resolver o problema. Para versões do Concourse 7.x.y anteriores à 7.8.3, atualize para a versão 7.8.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis, como “/api/v1/teams/:team name/pipelines/:pipeline name/jobs/:job name/builds/:build name” e "/api/v1/teams/:team name/pipelines/:pipeline name/jobs/: job name/pause", até que um patch seja aplicado.