Kerentanan ini berupa Cross-Site WebSocket Hijacking (CSWSH) yang dapat menyebabkan penyerang melakukan koneksi melalui WebSocket server pada Gitpod JSONRPC dengan kredensial korban. Kerentanan ini diakibatkan karena tidak adanya pembatasan pada Origin Header yang dapat mengarah pada ekstraksi data pada workspaces hingga pengambilalihan seluruh workspaces.
Gitpod adalah cloud development platform yang memiliki fungsi serupa dengan GitHub Codespaces dan AWS Cloud9. Gitpod mendukung pengembangan menggunakan cloud (internet), dimana pengembang dapat mengembangkan aplikasi dengan IDE yang berjalan di atas container dan dapat diakses melalui web browser. Bug pada kerentanan ini terjadi karena tidak adanya validasi Origin header pada WebSockets. Hal ini menyebabkan penyerang dapat melakukan login via WebSockets melalui server Gitpod JSONRPC.
info lebih lanjut Unduh Imbauan Keamanan Cross Site Websocket Hijacking pada Server Git.pod JSON RPC
Sumber : Direktorat Operasi Keamanan Siber – BSSN
Gitpod adalah cloud development platform yang memiliki fungsi serupa dengan GitHub Codespaces dan AWS Cloud9. Gitpod mendukung pengembangan menggunakan cloud (internet), dimana pengembang dapat mengembangkan aplikasi dengan IDE yang berjalan di atas container dan dapat diakses melalui web browser. Bug pada kerentanan ini terjadi karena tidak adanya validasi Origin header pada WebSockets. Hal ini menyebabkan penyerang dapat melakukan login via WebSockets melalui server Gitpod JSONRPC.
info lebih lanjut Unduh Imbauan Keamanan Cross Site Websocket Hijacking pada Server Git.pod JSON RPC
Sumber : Direktorat Operasi Keamanan Siber – BSSN