Vulnerabilidad en Woodpecker (CVE-2024-41121)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/07/2024
Última modificación:
03/10/2024
Descripción
Woodpecker es un motor CI/CD simple pero potente con gran extensibilidad. El servidor permite crear cualquier usuario que pueda desencadenar una canalización que ejecute workflows maliciosos: 1. Esos workflows pueden conducir a una toma de control del host que ejecuta el agente que ejecuta el workflow. 2. O permitir extraer los secretos que normalmente se proporcionarían a los complementos cuyo punto de entrada se sobrescribe. Este problema se solucionó en la versión 2.7.0. Se recomienda a los usuarios que actualicen. No se conocen soluciones para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:woodpecker-ci:woodpecker:*:*:*:*:*:*:*:* | 2.7.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/woodpecker-ci/woodpecker-security/issues/8
- https://github.com/woodpecker-ci/woodpecker-security/issues/9
- https://github.com/woodpecker-ci/woodpecker-security/pull/11
- https://github.com/woodpecker-ci/woodpecker/issues/3924
- https://github.com/woodpecker-ci/woodpecker/pull/3933
- https://github.com/woodpecker-ci/woodpecker/security/advisories/GHSA-xw35-rrcp-g7xm