CVE-2022-24832

Versões do GoCD anteriores à 22.1.0

A vulnerabilidade afeta o plug-in gocd-ldap-authentication-plugin incluído no GoCD Server, que não realiza a codificação correta de caracteres especiais ao usar o parâmetro username para construir consultas LDAP. Isso permite que um usuário GoCD já autenticado via LDAP com intenções maliciosas construa e execute consultas maliciosas, possibilitando-lhe deduzir informações sobre outros usuários ou entradas no banco de dados LDAP por meio de mecanismos de força bruta. O problema afeta apenas usuários com uma configuração de autorização LDAP ativa em seu servidor GoCD e pode ser explorado por usuários que se autentiquem usando tal configuração LDAP.

Para versões anteriores à 22.1.0, atualize para o GoCD 22.1.0, que vem com o gocd-ldap-authentication-plugin v2.2.0-144, para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à configuração de autenticação LDAP para minimizar o risco de exploração.