Vulnerabilidad en GoCD (CVE-2024-56322)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
03/01/2025
Última modificación:
03/01/2025
Descripción
GoCD es un servidor de entrega continua. Las versiones de GoCD 16.7.0 a 24.4.0 (incluida) pueden permitir que los administradores de GoCD abusen de una característica oculta/no utilizada del repositorio de configuración (canalizaciones como código) para permitir la inyección de XML External Entity (XXE) en el servidor de GoCD, que se ejecutará cuando GoCD escanee periódicamente los repositorios de configuración en busca de actualizaciones de canalizaciones, o sea activada por un administrador o administrador del repositorio de configuración. En la práctica, el impacto de esta vulnerabilidad es limitado, en la mayoría de los casos sin combinarse con otra vulnerabilidad, ya que solo los administradores (super) de GoCD tienen la capacidad de aprovechar esta vulnerabilidad. Por lo general, un administrador malintencionado de GoCD puede causar un daño mucho mayor que el que puede causar con la inyección de XXE. El problema se solucionó en GoCD 24.5.0. Como workaround, evite el acceso externo desde el servidor de GoCD a ubicaciones arbitrarias utilizando algún tipo de control de salida del entorno.
Impacto
Puntuación base 4.0
2.10
Gravedad 4.0
BAJA