Vulnerabilidad en Minder (CVE-2024-27093)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
26/02/2024
Última modificación:
05/02/2025
Descripción
Minder es una plataforma de seguridad de la cadena de suministro de software. En la versión 0.0.31 y anteriores, es posible que un atacante registre un repositorio con un ID ascendente no válido o diferente, lo que hace que Minder informe el repositorio como registrado, pero no solucione ningún cambio futuro que entre en conflicto con la política (porque los webhooks para el repositorio no coinciden con ningún repositorio conocido en la base de datos). Al intentar registrar un repositorio con un ID de repositorio diferente, el proveedor registrado debe tener un administrador en el repositorio nombrado o se producirá un error 404. De manera similar, si el token del proveedor almacenado no tiene acceso al repositorio, las soluciones no se aplicarán correctamente. Por último, parece que las acciones de conciliación no se ejecutan contra repos con este tipo de descalce. Esto parece ser principalmente una posible vulnerabilidad de denegación de servicio. Esta vulnerabilidad está parcheada en la versión 0.20240226.1425+ref.53868a8.
Impacto
Puntuación base 3.x
4.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lfprojects:minder:*:*:*:*:*:go:*:* | 0.0.31 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/stacklok/minder/commit/53868a878e93f29c43437f96dbc990b548e48d1d
- https://github.com/stacklok/minder/security/advisories/GHSA-q6h8-4j2v-pjg4
- https://github.com/stacklok/minder/commit/53868a878e93f29c43437f96dbc990b548e48d1d
- https://github.com/stacklok/minder/security/advisories/GHSA-q6h8-4j2v-pjg4