PT-2022-19436 · Gocd · Gocd
Chadlwilson
·
Publicado
2022-05-20
·
Atualizado
2022-06-06
·
CVE-2022-29183
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do GoCD 20.2.0 a 21.4.0
Descrição
O GoCD é um servidor de entrega contínua. O problema diz respeito a cross-site scripting refletido por meio do abuso do tratamento de erros da função de comparação do pipeline para renderizar HTML arbitrário na página retornada. Isso poderia permitir que um invasor induzisse uma vítima a executar código, o que permitiria ao invasor operar ou obter controle sobre os mesmos recursos aos quais a vítima tinha acesso.
Recomendações
Para as versões do GoCD 20.2.0 a 21.4.0, atualize para o GoCD 21.4.0 para resolver o problema.
Como solução alternativa temporária, considere bloquear o acesso a “/go/compare/.*” antes do servidor GoCD por meio de um proxy reverso, firewall de aplicativos web ou equivalente, para impedir o uso da função de comparação de pipeline.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gocd