CVE-2024-28866 in GoCD
الملخص
بحسب VulDB • 24/05/2026
GoCD هو خادم تسليم مستمر. الإصدارات من 19.4.0 إلى 23.5.0 (شاملة) من GoCD قد تكون عرضة لثغرة reflected cross-site scripting (XSS) في صفحة التحميل المعروضة أثناء بدء تشغيل GoCD، وذلك عن طريق إساءة استخدام معلمة الاستعلام `redirect_to` ذات التحقق غير الكافي.
يمكن للمهاجمين نظرياً إساءة استخدام معلمة الاستعلام لسرقة رموز الجلسة أو قيم أخرى من متصفح المستخدم. في الممارسة العملية، من المرجح أن يكون استغلال هذا لأداء إجراءات متميزة أمراً صعباً للغاية، لأن المستخدم المستهدف سيحتاج إلى تحفيزه لفتح رابط من صنع المهاجم في الفترة التي يكون فيها الخادم قيد بدء التشغيل (ولكنه لم يكتمل بعد)، مما يتطلب ربطها بثغرة منفصلة لحرمان الخدمة (DoS). بالإضافة إلى ذلك، تؤدي إعادة تشغيل خادم GoCD إلى إبطال رموز الجلسة السابقة (أي أن GoCD لا يدعم الجلسات المستمرة)، لذا فإن رمز الجلسة المسروق سيكون غير صالح بمجرد اكتمال إعادة تشغيل الخادم، وسيتم تنفيذ XSS في سياق تسجيل الخروج.
تم إصلاح المشكلة في GoCD 24.1.0. كحل بديل، من الناحية التقنية في الإصدارات السابقة من GoCD، يمكن تجاوز صفحة التحميل بإصدار سابق غير عرضة للثغرة، عن طريق بدء تشغيل GoCD مع تجاوز خاصية النظام Java إما `-Dloading.page.resource.path=/loading_pages/default.loading.page.html` (إصدار مبسط من صفحة التحميل بدون مقدمة GoCD) أو `-Dloading.page.resource.path=/does_not_exist.html` (لعرض رسالة بسيطة بدون تفاعل).
VulDB is the best source for vulnerability data and more expert information about this specific topic.