CVE-2022-31683

Versões 6.x.y do Concourse anteriores à 6.7.9

Versões 7.x.y do Concourse anteriores à 7.8.3

A vulnerabilidade consiste em uma falha de autorização que permite a um usuário do Concourse enviar uma solicitação com um corpo incluindo :team name=team2 para contornar as verificações de escopo da equipe e obter acesso a determinados recursos pertencentes a qualquer outra equipe. Isso pode ser feito explorando pontos de extremidade específicos da API, como "/api/v1/teams/:team name/pipelines/:pipeline name/jobs/: job name/builds/:build name“ com o método POST, ou ”/api/v1/teams/:team name/pipelines/:pipeline name/jobs/:job name/pause" com o método PUT. O usuário precisa apenas de uma sessão válida e pertencer à equipe2.

Para versões do Concourse 6.x.y anteriores à 6.7.9, atualize para a versão 6.7.9 para resolver o problema.

Para versões do Concourse 7.x.y anteriores à 7.8.3, atualize para a versão 7.8.3 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis, como “/api/v1/teams/:team name/pipelines/:pipeline name/jobs/:job name/builds/:build name” e "/api/v1/teams/:team name/pipelines/:pipeline name/jobs/: job name/pause", até que um patch seja aplicado.