CVE-2021-21250

**Nome do software vulnerável e versões afetadas:

Versões do OneDev anteriores à 4.0.3

Descrição:

O OneDev é uma plataforma DevOps completa. No OneDev, existe uma falha crítica que pode levar à leitura arbitrária de arquivos. Quando o BuildSpec é fornecido no formato XML, a especificação é processada por XmlBuildSpecMigrator.migrate(buildSpecString), que processa o documento XML sem impedir a expansão de entidades externas. Essas entidades podem ser configuradas para ler arquivos arbitrários do sistema de arquivos e descarregar seu conteúdo no documento XML final a ser migrado. Se os arquivos forem descarregados em propriedades incluídas no arquivo YAML, será possível que um invasor os leia. Caso contrário, é possível que um invasor extraia o conteúdo desses arquivos fora do canal (Out Of Band).

Recomendações:

Para versões anteriores à 4.0.3, atualize para a versão 4.0.3 ou posterior, que corrige o problema ignorando as instruções ENTITY em arquivos XML. Como solução temporária, considere desativar a função XmlBuildSpecMigrator.migrate(buildSpecString) até que um patch esteja disponível. Restrinja o acesso ao parâmetro buildSpecString para minimizar o risco de exploração. Evite usar o parâmetro buildSpecString no endpoint XML afetado até que o problema seja resolvido.