CVE-2022-29184

Versões do GoCD anteriores à 22.1.0

O GoCD é um servidor de entrega contínua. Nas versões anteriores à 22.1.0, usuários autenticados existentes com permissões para editar ou criar materiais de pipeline ou repositórios de configuração de pipeline podem obter capacidade de execução remota de código no servidor GoCD por meio da configuração de um nome de ramificação malicioso, que abusa de hooks/aliases do Mercurial para explorar uma vulnerabilidade de injeção de comando. Um invasor precisaria de acesso a uma conta com permissões de administração do GoCD para criar/editar repositórios de configuração (baseados em hg), criar/editar pipelines e seus materiais (baseados em hg) ou fazer commit de uma configuração maliciosa em um repositório externo.

Para versões do GoCD anteriores à 22.1.0, atualize para a versão 22.1.0 para resolver o problema.

Como solução alternativa temporária, os usuários que não utilizam ou dependem de materiais Mercurial podem desinstalar ou remover o binário hg/Mercurial do sistema operacional subjacente do servidor GoCD ou da imagem do Docker.