Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GoCD (CVE-2024-56324)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
03/01/2025
Última modificación:
01/08/2025

Descripción

GoCD es un servidor de entrega continua. Las versiones de GoCD anteriores a la 24.4.0 pueden permitir que los "administradores de grupo" de GoCD abusen de la capacidad de editar la configuración XML sin procesar de los grupos que administran para activar la inyección de entidad externa XML (XXE) en el servidor de GoCD. En teoría, la vulnerabilidad XXE puede dar lugar a ataques adicionales, como SSRF, divulgación de información desde el servidor de GoCD y navegación de directorios, aunque no se ha demostrado explícitamente que estos ataques adicionales sean explotables. Este problema se solucionó en GoCD 24.5.0. Hay algunas workarounds disponibles. Se puede bloquear temporalmente el acceso a las rutas `/go/*/pipelines/snippet` desde un proxy inverso externo o WAF si los usuarios "administradores de grupo" no necesitan la funcionalidad para editar el XML de las canalizaciones directamente (en lugar de usar la interfaz de usuario o un repositorio de configuración). También se puede impedir el acceso externo desde el servidor de GoCD a ubicaciones arbitrarias utilizando algún tipo de control de salida del entorno.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:thoughtworks:gocd:*:*:*:*:*:*:*:* 24.5.0 (excluyendo)