CVE-2024-56321

Nome do Software Vulnerável e Versões Afetadas Versões do GoCD de 18.9.0 a 24.4.0

Descrição O problema existe devido à restrição incorreta do nome do caminho para um diretório com acesso limitado. Isso pode permitir que um atacante remoto execute código arbitrário. Especificamente, administradores do GoCD podem abusar do recurso de "script pós-backup" da configuração de backup para potencialmente executar scripts arbitrários no servidor de hospedagem ou contêiner como usuário do GoCD. O impacto desta vulnerabilidade é limitado na maioria das configurações, pois um usuário que pode fazer login na interface do GoCD como administrador frequentemente possui permissões de administração do host. No entanto, em ambientes restritos onde a administração do host é separada da função de um administrador do GoCD, isso pode ser inesperado.

Recomendações Para as versões do GoCD de 18.9.0 a 24.4.0, atualize para a versão 24.5.0 ou posterior, onde os scripts pós-backup não podem mais ser executados a partir de determinados locais sensíveis no servidor do GoCD. Como solução temporária, considere restringir o acesso ao recurso de "script pós-backup" da configuração de backup para minimizar o risco de exploração. Além disso, restrinja a capacidade dos administradores do GoCD de configurar e agendar tarefas de pipeline em todos os agentes do GoCD disponíveis para o servidor, para prevenir a execução coordenada de tarefas similar à dos scripts pós-backup.