PT-2022-11811 · Thoughtworks · Gocd
Publicado
2022-04-14
·
Atualizado
2022-04-21
·
CVE-2021-43286
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ThoughtWorks GoCD anteriores à 21.3.0
Descrição
Foi detectada uma vulnerabilidade no ThoughtWorks GoCD em que um invasor com privilégios para criar um novo pipeline em um servidor GoCD pode explorar uma injeção de linha de comando no recurso “Testar conexão” da URL do Git para executar código arbitrário.
Recomendações
Para versões anteriores à 21.3.0, atualize para a versão 21.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso “Test Connection” na URL do Git para minimizar o risco de exploração.
Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gocd