Vulnerabilidad en GoCD (CVE-2024-56320)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
03/01/2025
Última modificación:
03/01/2025
Descripción
GoCD es un servidor de entrega continua. Las versiones de GoCD anteriores a la 24.5.0 son vulnerables a la escalada de privilegios de administrador debido a la autorización incorrecta del acceso a la función de interfaz de usuario "XML de configuración" del administrador y su API asociada. Un usuario interno malintencionado o un usuario autenticado existente de GoCD con una cuenta de usuario de GoCD existente podría aprovechar esta vulnerabilidad para acceder a información destinada únicamente a los administradores de GoCD o para escalar sus privilegios a los de un administrador de GoCD de manera persistente. No es posible que se abuse de esta vulnerabilidad antes de la autenticación o el inicio de sesión. El problema se solucionó en GoCD 24.5.0. Los usuarios de GoCD que no pueden realizar una actualización inmediata pueden mitigar este problema utilizando un proxy inverso, WAF o similar para bloquear externamente las rutas de acceso con un prefijo `/go/rails/`. El bloqueo de esta ruta no provoca ninguna pérdida de funcionalidad. Si no es posible actualizar o bloquear la ruta anterior, considere reducir la base de usuarios de GoCD a un conjunto de usuarios más confiable, incluida la desactivación temporal del uso de complementos como el complemento de inicio de sesión de invitado, que permite un acceso anónimo limitado como una cuenta de usuario normal.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA