Vulnerabilidad en GoCD (CVE-2022-39310)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/10/2022

Última modificación:

19/10/2022

Descripción

GoCD es un servidor de entrega continua. GoCD le ayuda a automatizar y agilizar el ciclo de construcción-prueba-lanzamiento para la entrega continua de su producto. Las versiones de GoCD anteriores a 21.1.0 pueden permitir a un agente autenticado hacerse pasar por otro agente y, por lo tanto, reciba paquetes de trabajo para otros agentes debido a un control de acceso roto y a una comprobación incorrecta de los tokens de los agentes dentro del servidor de GoCD. Dado que los paquetes de trabajo pueden contener información confidencial, como credenciales destinadas únicamente a un trabajo determinado que es ejecutado en un entorno de agente específico, esto puede causar la divulgación accidental de información. La explotación requiere el conocimiento de los identificadores del agente y la capacidad de autenticarse como un agente existente con el servidor GoCD. Este problema ha sido corregido en GoCD versión 21.1.0. Actualmente no se presentan mitigaciones conocidas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno