PT-2024-24749 · Hydra · Hydra
Delroth
·
Publicado
2024-04-22
·
Atualizado
2024-04-23
·
CVE-2024-32657
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Hydra anteriores à correção aplicada por volta das 14h30 UTC do dia 21 de abril de 2024
Descrição
O Hydra, um serviço de integração contínua para projetos baseados em Nix, apresenta uma falha que permite que invasores executem código arbitrário no contexto do navegador e realizem solicitações HTTP autenticadas. O problema decorre de um recurso que permite que as compilações Nix especifiquem arquivos servidos pelo Hydra aos clientes, afetando particularmente arquivos HTML. Essa falha pode ser contornada evitando-se a abertura de artefatos de compilação HTML até que a vulnerabilidade seja corrigida.
Recomendações
Para versões anteriores ao commit de correção, aplique o commit de correção às instalações locais para resolver a vulnerabilidade.
Para usuários do pacote nixpkgs, atualize para a versão unstable ou 23.11 para obter a versão corrigida.
Como solução temporária, considere não abrir artefatos de compilação HTML até que a vulnerabilidade seja resolvida.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hydra