Vulnerabilidad en GoCD (CVE-2022-36088)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/09/2022

Última modificación:

16/09/2022

Descripción

GoCD es un servidor de entrega continua. Las instalaciones de Windows por medio de los instaladores del servidor o del agente para GoCD versiones anteriores a 22.2.0, no restringen apropiadamente los permisos cuando son instalados fuera de la ubicación predeterminada. Esto podría permitir a un usuario malicioso con acceso local al servidor en el que es instalado el servidor o el agente de GoCD modificar los ejecutables o los componentes de la instalación. Esto no afecta a instalaciones basadas en archivos zip, a instalaciones en otras plataformas ni a instalaciones dentro de "Program Files" or "Program Files (x86)". Este problema ha sido corregido en los instaladores de GoCD versión 22.2.0. Como mitigación, si el servidor o el agente es instalado fuera de "Program Files (x86)", compruebe los permisos del directorio de instalación del servidor o del agente para asegurarse de que el grupo de usuarios "Everyone" no presenta permisos de "Full Control", "Modify" o "Write"

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno