CVE-2022-24912

github.com/runatlantis/atlantis/server/controllers/events versões anteriores à 0.19.7

A vulnerabilidade está relacionada a um ataque de temporização no código do validador de eventos de webhook, que não utiliza uma função de comparação de tempo constante para validar o segredo do webhook. Isso pode permitir que um invasor recupere o segredo e, em seguida, falsifique eventos de webhook. A validação de solicitações do GitLab também pode vazar segredos devido ao uso de uma comparação de tempo não constante para segredos.

Para versões anteriores à 0.19.7, atualize para a versão 0.19.7 ou posterior para resolver o problema. Como solução temporária, considere desativar o código do validador de eventos do webhook até que um patch esteja disponível. Restrinja o acesso ao pacote github.com/runatlantis/atlantis/server/controllers/events para minimizar o risco de exploração. Evite usar o segredo do webhook no endpoint da API afetado até que o problema seja resolvido.