CVE-2024-28866

GoCD vulnerable to reflected Cross-site Scripting possible on server loading page during start-up

Severity Score

3.1

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track

*SSVC

Descriptions

GoCD is a continuous delivery server. GoCD versions from 19.4.0 to 23.5.0 (inclusive) are potentially vulnerable to a reflected cross-site scripting vulnerability on the loading page displayed while GoCD is starting, via abuse of a `redirect_to` query parameter with inadequate validation.

Attackers could theoretically abuse the query parameter to steal session tokens or other values from the user's browser. In practice exploiting this to perform privileged actions is likely rather difficult to exploit because the target user would need to be triggered to open an attacker-crafted link in the period where the server is starting up (but not completely started), requiring chaining with a separate denial-of-service vulnerability. Additionally, GoCD server restarts invalidate earlier session tokens (i.e GoCD does not support persistent sessions), so a stolen session token would be unusable once the server has completed restart, and executed XSS would be done within a logged-out context.

The issue is fixed in GoCD 24.1.0. As a workaround, it is technically possible in earlier GoCD versions to override the loading page with an earlier version which is not vulnerable, by starting GoCD with the Java system property override as either `-Dloading.page.resource.path=/loading_pages/default.loading.page.html` (simpler early version of loading page without GoCD introduction) or `-Dloading.page.resource.path=/does_not_exist.html` (to display a simple message with no interactivity).

GoCD es un servidor de entrega continua. Las versiones de GoCD de 19.4.0 a 23.5.0 (incluida) son potencialmente vulnerables a una vulnerabilidad de Cross Site Scripting reflejado en la página de carga que se muestra mientras se inicia GoCD, a través del abuso de un parámetro de consulta `redirect_to` con validación inadecuada. En teoría, los atacantes podrían abusar del parámetro de consulta para robar tokens de sesión u otros valores del navegador del usuario. En la práctica, explotar esto para realizar acciones privilegiadas probablemente sea bastante difícil de explotar porque el usuario objetivo necesitaría ser activado para abrir un enlace creado por el atacante en el período en el que el servidor se está iniciando (pero no completamente iniciado), lo que requiere encadenamiento con un vulnerabilidad de denegación de servicio separada. Además, los reinicios del servidor GoCD invalidan los tokens de sesión anteriores (es decir, GoCD no admite sesiones persistentes), por lo que un token de sesión robado quedaría inutilizable una vez que el servidor haya completado el reinicio, y el XSS ejecutado se realizaría dentro de un contexto de cierre de sesión. El problema se solucionó en GoCD 24.1.0. Como workaround, es técnicamente posible en versiones anteriores de GoCD anular la página de carga con una versión anterior que no sea vulnerable, iniciando GoCD con la propiedad del sistema Java anulada como `-Dloading.page.resource.path=/loading_pages/ default.loading.page.html` (versión inicial más simple de la página de carga sin introducción de GoCD) o `-Dloading.page.resource.path=/does_not_exist.html` (para mostrar un mensaje simple sin interactividad).

*Credits: N/A

CVSS Scores

GitHubv3.1 3.1

Attack Vector

Network

Attack Complexity

High

Privileges Required

None

User Interaction

Required

Scope

Unchanged

Confidentiality

None

Integrity

Low

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Track

Exploitation

None

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-03-11 CVE Reserved
2024-05-13 CVE Published
2024-05-14 EPSS Updated
2024-08-02 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CAPEC

References (4)

URL	Tag	Source
https://github.com/gocd/gocd/commit/388d8893ec4cac51d2b76e923cc9b55c7703e402	X_refsource_misc
https://github.com/gocd/gocd/releases/tag/24.1.0	X_refsource_misc
https://github.com/gocd/gocd/security/advisories/GHSA-q882-q6mm-mgvh	X_refsource_confirm
https://www.gocd.org/releases/#24-1-0	X_refsource_misc

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Gocd Search vendor "Gocd"		Gocd Search vendor "Gocd" for product "Gocd"				>= 19.4.0 < 24.1.0 Search vendor "Gocd" for product "Gocd" and version " >= 19.4.0 < 24.1.0"		en		Affected