Vulnerabilidad en Vela (CVE-2025-27616)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/03/2025
Última modificación:
10/03/2025
Descripción
Vela es un framework de automatización de canalización (CI/CD) creado con tecnología de contenedores Linux escrito en Golang. Antes de las versiones 0.25.3 y 0.26.3, al falsificar el payload de un webhook con un conjunto específico de encabezados y datos de cuerpo, un atacante podía transferir la propiedad de un repositorio y sus secretos de nivel de repositorio a un repositorio separado. Estos secretos podrían ser exfiltrados por compilaciones de seguimiento al repositorio. Los usuarios con un repositorio habilitado con acceso a secretos de CI de nivel de repositorio en Vela son afectados por la vulnerabilidad, y cualquier usuario con acceso a la instancia de CI y al administrador de control de código fuente vinculado puede realizar la vulnerabilidad. Las versiones 0.25.3 y 0.26.3 solucionan el problema. No hay workarounds conocidos disponibles.
Impacto
Puntuación base 3.x
8.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/go-vela/server/commit/257886e5a3eea518548387885894e239668584f5
- https://github.com/go-vela/server/commit/67c1892e2464dc54b8d2588815dfb7819222500b
- https://github.com/go-vela/server/releases/tag/v0.25.3
- https://github.com/go-vela/server/releases/tag/v0.26.3
- https://github.com/go-vela/server/security/advisories/GHSA-9m63-33q3-xq5x