PT-2021-24143 · Unknown · Gocd Server
Mesh3L_911
·
Publicado
2021-12-22
·
Atualizado
2024-08-04
·
CVE-2021-44659
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
GoCD Server versão 21.3.0
Descrição:
O problema diz respeito a uma funcionalidade do GoCD Server que poderia ser explorada para realizar uma falsificação de solicitação do lado do servidor (SSRF). Isso é possível ao adicionar um novo pipeline. A posição do fornecedor é que o comportamento observado não constitui uma vulnerabilidade, uma vez que o design do produto permite que um administrador configure as solicitações de saída.
Recomendações:
Para o servidor GoCD versão 21.3.0, considere restringir a configuração de solicitações de saída para minimizar o risco de exploração. Como solução temporária, revise e limite o uso da funcionalidade de pipeline até que orientações adicionais estejam disponíveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gocd Server