GoCD: Kritische Sicherheitslücke geschlossen
- Warnmeldung
Angreifende können über eine kritische Schwachstelle in GoCD das gesamte System übernehmen. Betroffen sind alle Versionen vor 24.5.0. Ein Update ist verfügbar.
© Adobe Stock
Zugriff auf vertrauliche Informationen
Angreifende können über ein bestehendes GoCD-Benutzerkonto ihre Rechte erweitern. Sie können dadurch auf vertrauliche Informationen zugreifen und sogar das System vollständig übernehmen.
Die Schwachstelle hat die ID CVE-2024-56320 mit einem CVSS-Base-Score von 9.4/10. Mit GoCD-Version 24.5.0 steht ein Update zur Verfügung, in dem diese Sicherheitslücke beseitigt ist.
GoCD ist ein Open-Source-Tool, das in der Softwareentwicklung eingesetzt wird. Es dient der automatisierten Bereitstellung von Software.
Empfehlungen
Beachten Sie folgende Empfehlungen:
- Spielen Sie die GoCD-Version 24.5.0 baldmöglichst ein.
- Wenn dies nicht möglich ist, blockieren Sie die Zugriffspfade mit dem Präfix /go/rails/ z. B. mit einem Reverse-Proxy. Andernfalls grenzen Sie den Zugriff ein auf vertrauenswürdige Nutzende und deaktivieren Sie den Gast-Login.