| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 15.6.1, 15.5.5 i 15.4.6 GitLab Enterprise Edition (EE) — wersje wcześniejsze niż 15.6.1, 15.5.5 i 15.4.6 |
| Numer CVE | CVE-2022-4206 |
| Krytyczność | 8.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
| Opis | We wszystkich wersjach skanera DAST API od wersji 1.6.50 do 2.0.102 wykryto problem wycieku poufnych informacji, ujawniający nagłówek Authorization w raporcie o lukach. |
| Numer CVE | CVE-2022-3820 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 12.9 przed 15.3.5, 15.4 przed 15.4.4 i 15.5 przed 15.5.2. Właściciel grupy może ominąć sprawdzanie autoryzacji zewnętrznej, jeżeli jest włączone, aby uzyskać dostęp do repozytoriów git i rejestrów pakietów dzięki tokenów wdrażania lub kluczy wdrażania. |
| Numer CVE | CVE-2022-4205 |
| Krytyczność | 6,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:L |
| Opis | W GitLab EE/CE przed 15.6.1, 15.5.5 i 15.4.6 użycie gałęzi z nazwą szesnastkową mogło zastąpić istniejący skrót. |
| Numer CVE | CVE-2022-3902. |
| Krytyczność | 5,5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
| Opis | W GitLab wykryto problem dotyczący wszystkich wersji od 9.3 do 15.4.6, wszystkich wersji od 15.5 do 15.5.5, wszystkich wersji od 15.6 do 15.6.1. Opiekun projektu mógł zdemaskować tajne tokeny elementu webhook, przeglądając dzienniki po przetestowaniu elementu webhook. |
| Numer CVE | CVE-2022-4054 |
| Krytyczność | 5,5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
| Opis | W GitLab wykryto problem dotyczący wszystkich wersji od 9.3 do 15.4.6, wszystkich wersji od 15.5 do 15.5.5, wszystkich wersji od 15.6 do 15.6.1. Opiekun projektu mógł ujawnić tajny token elementu webhook, zmieniając adres URL elementu webhook na punkt końcowy, który umożliwia przechwytywanie nagłówków żądań |
| Numer CVE | CVE-2022-3572 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | W GitLab CE/EE wykryto problem ze skryptami krzyżowymi, który dotyczy wszystkich wersji od 13.5 do 15.3.5, 15.4 przed 15.4.4 i 15.5 przed 15.5.2. Możliwe było wykorzystanie luki w ustawieniach integracji Jira Connect, która mogła doprowadzić do odbicia XSS, które umożliwiło atakującym wykonanie dowolnych działań w imieniu ofiar |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2022/11/30/security-release-gitlab-15-6-1-released/#dast-api-scanner-exposes-authorization-headers-in-vulnerabilities |
GitLab publikuje aktualizacje dla swoich produktów
Powiązane
Od czego robi się guz na oponie?
4 dni temu