CVE-2024-27916

Versões do Minder anteriores à 0.0.33

Um usuário do Minder pode utilizar os endpoints GetRepositoryByName, DeleteRepositoryByName e GetArtifactByName para acessar qualquer repositório no banco de dados, independentemente de quem seja o proprietário do repositório e das permissões existentes. A consulta ao banco de dados verifica o proprietário do repositório, o nome do repositório e o nome do provedor (que é sempre “github”). Esses valores de consulta não são exclusivos para um usuário específico; desde que o usuário tenha credenciais válidas e um provedor, ele pode definir o proprietário/nome do repositório como qualquer valor desejado, e o servidor retornará informações sobre esse repositório. Esse problema afeta qualquer usuário e projeto em uma instância multi-tenant do Minder.

Para resolver este problema, atualize para a versão 0.0.33 ou posterior. Como solução temporária, considere restringir o acesso aos endpoints GetRepositoryByName, DeleteRepositoryByName e GetArtifactByName até que um patch seja aplicado. Além disso, restrinja o uso da função DeleteRepositoryByName para impedir a exclusão não autorizada de repositórios. Evite usar o endpoint GetArtifactByName até que o problema seja resolvido.