CVE-2024-34084

Versões do Minder anteriores à 0.0.48

O método HandleGithubWebhook do Minder está suscetível a um ataque de negação de serviço proveniente de uma solicitação HTTP não confiável. A vulnerabilidade existe antes que a solicitação seja validada e, portanto, a solicitação ainda não é confiável no momento da falha. Isso permite que um invasor com a capacidade de enviar solicitações para HandleGithubWebhook cause uma falha no plano de controle do Minder e impeça outros usuários de utilizá-lo. O problema surge porque a função validatePayloadSignature gera um leitor a partir da solicitação recebida, o que pode levar ao esgotamento da memória se o corpo da solicitação for grande.

Para versões anteriores à 0.0.48, atualize para a versão 0.0.48 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint HandleGithubWebhook para minimizar o risco de exploração. Evite usar a função readerFromRequest com solicitações não confiáveis até que o problema seja resolvido.