N/A

admin

0
文章

0
评论

2024-08-05 14:36:18 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

CVE编号

CVE-2024-21583

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-19

漏洞描述

在以下软件包版本中存在漏洞：* github.com/gitpod-io/gitpod/components/server/go/pkg/lib 在 main-gha.27122 之前的主版本* github.com/gitpod-io/gitpod/components/ws-proxy/pkg/proxy 在 main-gha.27122 之前的主版本* github.com/gitpod-io/gitpod/install/installer/pkg/components/auth 在 main-gha.27122 之前的主版本* github.com/gitpod-io/gitpod/install/installer/pkg/components/public-api-server 在 main-gha.27122 之前的主版本* github.com/gitpod-io/gitpod/install/installer/pkg/components/server 在 main-gha.27122 之前的主版本* @gitpod/gitpod-protocol 在 0.1.5-main-gha.27122 之前的版本。这些软件包存在Cookie Tossing漏洞，原因是缺少了__Host前缀的 _gitpod_io_jwt2_ 会话cookie。这使得控制子域的对手能够在Gitpod控制平面上设置cookie的值。该cookie可以被分配给攻击者自己的JWT，因此受害者的某些行为（例如连接新的Github组织）实际上是由攻击者的会话执行的。

解决建议

"将组件 github.com/gitpod-io/gitpod/install/installer/pkg/components/server 升级至 main-gha.27122 及以上版本"

参考链接
https://app.safebase.io/portal/71ccd717-aa2d-4a1e-942e-c768d37e9e0c/preview?p...
https://github.com/gitpod-io/gitpod/commit/da1053e1013f27a56e6d3533aa251dbd241d0155
https://github.com/gitpod-io/gitpod/pull/19973
https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGITPODIOGITPODCOMPONENTSSE...
https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGITPODIOGITPODCOMPONENTSWS...
https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGITPODIOGITPODINSTALLINSTA...
https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGITPODIOGITPODINSTALLINSTA...
https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGITPODIOGITPODINSTALLINSTA...
https://security.snyk.io/vuln/SNYK-JS-GITPODGITPODPROTOCOL-7452079