CVE-2024-28866 in GoCDinformazioni

Riassunto

di VulDB • 19/06/2026

GoCD è un server di continuous delivery. Le versioni di GoCD dalla 19.4.0 alla 23.5.0 (incluse) sono potenzialmente vulnerabili a una reflected cross-site scripting sulla pagina di caricamento visualizzata durante l'avvio di GoCD, tramite abuso del parametro query `redirect_to` con validazione inadeguata.

Gli attaccanti potrebbero teoricamente abusare del parametro query per rubare i token di sessione o altri valori dal browser dell'utente. In pratica, sfruttare questa vulnerabilità per eseguire azioni privilegiate è probabilmente piuttosto difficile da realizzare perché l'utente target dovrebbe essere indotto ad aprire un link creato dall'attaccante nel periodo in cui il server si sta avviando (ma non ha ancora completato l'avvio), richiedendo la concatenazione con una separate denial-of-service vulnerability. Inoltre, i riavvii del server GoCD invalidano i token di sessione precedenti (ovvero GoCD non supporta sessioni persistenti), quindi un token di sessione rubato risulterebbe inutilizzabile una volta completato il riavvio del server e l'XSS eseguito avverrebbe in un contesto disconnesso.

Il problema è risolto in GoCD 24.1.0. Come workaround, nelle versioni precedenti di GoCD è tecnicamente possibile sovrascrivere la pagina di caricamento con una versione precedente non vulnerabile avviando GoCD con l'override della proprietà di sistema Java come `-Dloading.page.resource.path=/loading_pages/default.loading.page.html` (versione iniziale più semplice della pagina di caricamento senza introduzione a GoCD) o `-Dloading.page.resource.path=/does_not_exist.html` (per visualizzare un messaggio semplice senza interattività).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Prenotare

11/03/2024

Divulgazione

14/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00419

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!