PT-2024-29278 · Unknown · Woodpecker
D_K_Dev
+3
·
Publicado
2024-07-19
·
Atualizado
2024-11-15
·
CVE-2024-41122
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Woodpecker anteriores à 2.7.0
Descrição
A vulnerabilidade permite que invasores criem fluxos de trabalho maliciosos que podem levar ao controle do host ou ao vazamento de segredos. Isso é possível porque o servidor permite que qualquer usuário acione a execução de um pipeline, e esses fluxos de trabalho podem assumir o controle do host que executa o agente ou extrair segredos normalmente fornecidos aos plug-ins. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para versões anteriores à 2.7.0, atualize para a versão 2.7.0 para resolver o problema. Como solução alternativa temporária, habilite o recurso de repositório “gated” e revise cada alteração antes de executá-la. Não há outras soluções alternativas conhecidas para este problema.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woodpecker