PT-2022-24892 · Gocd · Gocd
Publicado
2022-10-14
·
Atualizado
2022-10-19
·
CVE-2022-39310
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GoCD anteriores à 21.1.0
Descrição
A vulnerabilidade permite que um agente autenticado se faça passar por outro agente devido a falhas no controle de acesso e à validação incorreta de tokens de agente no servidor GoCD. Isso pode causar a divulgação acidental de informações, uma vez que os pacotes de trabalho podem conter informações confidenciais, como credenciais destinadas exclusivamente a uma determinada tarefa em execução em um ambiente de agente específico. A exploração requer conhecimento dos identificadores de agente e a capacidade de se autenticar como um agente existente no servidor GoCD.
Recomendações
Para versões do GoCD anteriores à 21.1.0, atualize para a versão 21.1.0 para resolver o problema.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gocd