Vulnerabilidad en GoCD (CVE-2024-28866)

GoCD es un servidor de entrega continua. Las versiones de GoCD de 19.4.0 a 23.5.0 (incluida) son potencialmente vulnerables a una vulnerabilidad de Cross Site Scripting reflejado en la página de carga que se muestra mientras se inicia GoCD, a través del abuso de un parámetro de consulta `redirect_to` con validación inadecuada. En teoría, los atacantes podrían abusar del parámetro de consulta para robar tokens de sesión u otros valores del navegador del usuario. En la práctica, explotar esto para realizar acciones privilegiadas probablemente sea bastante difícil de explotar porque el usuario objetivo necesitaría ser activado para abrir un enlace creado por el atacante en el período en el que el servidor se está iniciando (pero no completamente iniciado), lo que requiere encadenamiento con un vulnerabilidad de denegación de servicio separada. Además, los reinicios del servidor GoCD invalidan los tokens de sesión anteriores (es decir, GoCD no admite sesiones persistentes), por lo que un token de sesión robado quedaría inutilizable una vez que el servidor haya completado el reinicio, y el XSS ejecutado se realizaría dentro de un contexto de cierre de sesión. El problema se solucionó en GoCD 24.1.0. Como workaround, es técnicamente posible en versiones anteriores de GoCD anular la página de carga con una versión anterior que no sea vulnerable, iniciando GoCD con la propiedad del sistema Java anulada como `-Dloading.page.resource.path=/loading_pages/ default.loading.page.html` (versión inicial más simple de la página de carga sin introducción de GoCD) o `-Dloading.page.resource.path=/does_not_exist.html` (para mostrar un mensaje simple sin interactividad).