CVE-2022-39207

Versões do Onedev anteriores à 7.3.0

O Onedev é um servidor Git de código aberto e auto-hospedado com CI/CD e Kanban. Durante as compilações de CI/CD, é possível salvar artefatos de compilação para recuperação posterior. Esses arquivos de artefatos são servidos pelo servidor web no mesmo contexto da interface do usuário, sem quaisquer restrições adicionais. Isso leva a um ataque de Cross-Site Scripting (XSS) quando um usuário cria um artefato de compilação que contém HTML. Ao acessar o artefato, o conteúdo é renderizado pelo navegador, incluindo qualquer JavaScript que ele contenha. Como todos os cookies (exceto o “rememberMe”) não definem o sinalizador HttpOnly, um invasor poderia roubar a sessão de uma vítima e usá-la para se passar por ela. Para explorar essa vulnerabilidade, os invasores precisam ser capazes de modificar o conteúdo dos artefatos, o que geralmente significa que precisam ser capazes de modificar as especificações de compilação de um projeto. A exploração requer que a vítima clique em um link do invasor. Ela pode ser usada para elevar privilégios, visando administradores de uma instância do OneDev. Na pior das hipóteses, isso pode levar à execução de código arbitrário no servidor, pois os administradores podem criar Server Shell Executors e usá-los para executar qualquer comando no servidor.

Para versões anteriores à 7.3.0, atualize para a versão 7.3.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos artefatos de compilação e limitar a capacidade de modificar as especificações de compilação do projeto apenas a usuários confiáveis. Evite clicar em li