CVE-2024-28866 in GoCD
Riassunto
di VulDB • 19/06/2026
GoCD è un server di continuous delivery. Le versioni di GoCD dalla 19.4.0 alla 23.5.0 (incluse) sono potenzialmente vulnerabili a una reflected cross-site scripting sulla pagina di caricamento visualizzata durante l'avvio di GoCD, tramite abuso del parametro query `redirect_to` con validazione inadeguata.
Gli attaccanti potrebbero teoricamente abusare del parametro query per rubare i token di sessione o altri valori dal browser dell'utente. In pratica, sfruttare questa vulnerabilità per eseguire azioni privilegiate è probabilmente piuttosto difficile da realizzare perché l'utente target dovrebbe essere indotto ad aprire un link creato dall'attaccante nel periodo in cui il server si sta avviando (ma non ha ancora completato l'avvio), richiedendo la concatenazione con una separate denial-of-service vulnerability. Inoltre, i riavvii del server GoCD invalidano i token di sessione precedenti (ovvero GoCD non supporta sessioni persistenti), quindi un token di sessione rubato risulterebbe inutilizzabile una volta completato il riavvio del server e l'XSS eseguito avverrebbe in un contesto disconnesso.
Il problema è risolto in GoCD 24.1.0. Come workaround, nelle versioni precedenti di GoCD è tecnicamente possibile sovrascrivere la pagina di caricamento con una versione precedente non vulnerabile avviando GoCD con l'override della proprietà di sistema Java come `-Dloading.page.resource.path=/loading_pages/default.loading.page.html` (versione iniziale più semplice della pagina di caricamento senza introduzione a GoCD) o `-Dloading.page.resource.path=/does_not_exist.html` (per visualizzare un messaggio semplice senza interattività).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.