开源 CI/CD 平台 GoCD 发布了紧急安全更新，以解决 CVE-2024-56320 (CVSS 9.4) 这一关键漏洞，该漏洞可能允许恶意认证用户将权限升级到管理员级别。

该漏洞在 24.5.0 之前的 GoCD 版本中被发现，源于 “对访问管理员‘Configuration XML’ UI 功能及其相关 API 的授权不当”。该漏洞可使攻击者在未经授权的情况下访问敏感信息，并有可能完全控制 GoCD 系统。

根据官方安全公告，“一个恶意的内部人员/拥有现有 GoCD 用户账户的经过认证的 GoCD 用户可以滥用这个漏洞来访问只为 GoCD 管理员准备的信息，或者以一种持续的方式将他们的权限升级到 GoCD 管理员的权限。”

GoCD 项目强调，如果没有事先进行身份验证，就无法利用该漏洞。公告称：“该漏洞不可能在验证/登录前被滥用。”

建议立即采取行动

强烈建议用户升级到 GoCD 24.5.0 版本，该版本包含修复此漏洞所需的补丁。

对于无法立即升级的用户，GoCD 项目建议采取临时缓解措施：

• 阻止访问易受攻击的路径： 利用反向代理、Web 应用程序防火墙 (WAF) 或类似的安全机制，阻止对带有 /go/rails/ 前缀的路径的外部访问。公告保证：“阻止该路径不会造成功能损失”。
• 减少用户群： 将 GoCD 的访问权限限制在一小部分受信任的用户范围内。这可能需要暂时禁用 “访客登录插件 ”等允许有限匿名访问的插件。

敦促使用 GoCD 的组织立即采取行动，保护其 CI/CD 管道免受潜在威胁。