PT-2025-10628 · Vela · Vela
Ecrupper
·
Publicado
2025-03-10
·
Atualizado
2025-03-15
·
CVE-2025-27616
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Vela anteriores à 0.25.3
Versões do Vela anteriores à 0.26.3
Descrição
A falha permite que um invasor transfira a propriedade de um repositório e seus segredos para um repositório separado ao falsificar um payload de webhook com cabeçalhos e dados de corpo específicos. Isso pode levar à exfiltração de segredos por meio de builds subsequentes. Usuários com acesso a segredos de CI em nível de repositório e à instância de CI estão vulneráveis.
Recomendações
Para versões anteriores à 0.25.3, atualize para a versão 0.25.3 ou posterior para resolver o problema.
Para versões anteriores à 0.26.3, atualize para a versão 0.26.3 ou posterior para resolver o problema.
Exploit
Correção
Insufficient Verification of Data Authenticity
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vela