Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en la configuración de un nombre de rama en GoCD (CVE-2022-29184)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
20/05/2022
Última modificación:
06/06/2022

Descripción

GoCD es un servidor de entrega continua. En GoCD versiones anteriores a 22.1.0, es posible que los usuarios autenticados existentes que presentan permisos para editar o crear materiales de canalización o repositorios de configuración de canalización obtengan la capacidad de ejecución de código remota en el servidor GoCD por medio de la configuración de un nombre de rama malicioso que abusa de los ganchos/aliases de Mercurial para explotar una debilidad de inyección de comandos. Un atacante necesitaría acceder a una cuenta con permisos de administración de GoCD para crear/editar repositorios de configuración (basados en "hg"); crear/editar pipelines y sus materiales (basados en "hg"); o, cuando son usados repositorios de configuración "pipelines-as-code", enviar una configuración maliciosa a dicho repositorio externo que será analizada automáticamente en una configuración de pipeline y una definición de material ("hg") por el servidor GoCD. Este problema ha sido corregido en GoCD versión 22.1.0. Como mitigación, los usuarios que no usan/dependen de los materiales Mercurial pueden desinstalar/eliminar el binario "hg"/Mercurial del sistema operativo subyacente del servidor GoCD o de la imagen Docker

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:thoughtworks:gocd:*:*:*:*:*:*:*:* 22.1.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información