CVE-2024-27093

Versões do Minder 0.0.31 e anteriores

Versões do Minder anteriores à 0.20240226.1425

A vulnerabilidade permite que um invasor registre um repositório com um ID upstream inválido ou diferente, fazendo com que o Minder relate o repositório como registrado, mas não corrija alterações futuras que entrem em conflito com a política. Isso ocorre porque os webhooks do repositório não correspondem a nenhum repositório conhecido no banco de dados. Para registrar um repositório com um ID diferente, o provedor registrado deve ter acesso de administrador ao repositório em questão; caso contrário, ocorrerá um erro 404. Se o token do provedor armazenado não tiver acesso ao repositório, as correções não serão aplicadas com sucesso. Ações de reconciliação não são executadas em repositórios com esse tipo de incompatibilidade. Isso parece ser uma vulnerabilidade potencial de negação de serviço.

Para as versões 0.0.31 e anteriores do Minder, atualize para a versão 0.20240226.1425 ou posterior para resolver o problema.

Para versões do Minder anteriores à 0.20240226.1425, atualize para a versão 0.20240226.1425 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à chamada RegisterRepository para impedir que invasores registrem repositórios com IDs de upstream inválidos ou diferentes.