CVE-2024-28866

Versões do GoCD 19.4.0 a 23.5.0

A vulnerabilidade consiste em um ataque de script entre sites refletido (XSS) na página de carregamento exibida durante a inicialização do GoCD, por meio do uso indevido de um parâmetro de consulta redirect to com validação inadequada. Teoricamente, invasores poderiam abusar do parâmetro de consulta para roubar tokens de sessão ou outros valores do navegador do usuário. No entanto, explorar isso para realizar ações privilegiadas é provavelmente bastante difícil, pois o usuário alvo precisaria ser induzido a abrir um link criado pelo invasor no período em que o servidor está iniciando. Além disso, as reinicializações do servidor GoCD invalidam tokens de sessão anteriores, de modo que um token de sessão roubado ficaria inutilizável assim que o servidor concluísse a reinicialização.

Para as versões 19.4.0 a 23.5.0 do GoCD, considere atualizar para o GoCD 24.1.0 para resolver o problema.

Como solução alternativa temporária para versões anteriores do GoCD, inicie o GoCD com a substituição da propriedade do sistema Java como -Dloading.page.resource.path=/loading pages/default.loading.page.html ou -Dloading.page.resource.path=/does not exist.html para substituir a página de carregamento por uma versão anterior que não seja vulnerável.