CVE-2021-21432

Versões 0.7.0 a 0.7.4 do Vela

O problema diz respeito a um mecanismo de autenticação adicionado na versão 0.7.0 do Vela, que permite que usuários mal-intencionados obtenham segredos utilizando credenciais injetadas no arquivo ~/.netrc. Isso pode ser feito criando um servidor Vela, fazendo login na interface do usuário do Vela, promovendo-se a administrador do Vela, ativando um repositório e adicionando um arquivo .vela.yml com conteúdo específico ao repositório. A vulnerabilidade permite o acesso a segredos, que podem ser obtidos executando um script com configurações específicas do ambiente.

Para as versões 0.7.0 a 0.7.4 do Vela, atualize para a versão 0.7.5 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao arquivo ~/.netrc e ao endpoint da API github.com/go-vela/server para minimizar o risco de exploração.

Evite usar a variável de ambiente VELA TOKEN no endpoint da API afetado até que o problema seja resolvido.