中危 Woodpecker 验证错误漏洞(CVE-2023-40034)
CVE编号
CVE-2023-40034利用情况
暂无补丁情况
官方补丁披露时间
2023-08-17漏洞描述
Woodpecker是Drone CI系统的社区分支版本。 在受影响的版本中,攻击者可以发布格式错误的webhook数据,导致更新存储库数据,可能允许接管存储库。只有在CI配置为公共使用并连接到公共使用的Forge时,才会存在严重性。 此问题已在版本1.0.2中得到解决。建议用户升级。无法升级的用户应通过使其对不受信任的实体不可访问(例如,将其放置在防火墙后面)来保护CI系统。解决建议
"将组件 github.com/woodpecker-ci/woodpecker 升级至 1.0.2 及以上版本""将组件 github.com/woodpecker-ci/woodpecker/server/api 升级至 1.0.2 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | woodpecker-ci | woodpecker | * | From (including) 1.0.0 | Up to (excluding) 1.0.2 | ||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-20 | 输入验证不恰当 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论