GitLab CE/EE sérülékenysége
Angol cím: GitLab CE/EE vulnerability
Publikálás dátuma: 2024.01.12.
Utolsó módosítás dátuma: 2024.01.12.
Leírás
Nem megfelelő Authorizáció: A termék nem megfelelően hajtja végre jogosultsági ellenőrzést, amikor egy szereplő megpróbál hozzáférni egy erőforráshoz, vagy végrehajt egy műveletet. Ez lehetővé teszi a támadók számára a tervezett hozzáférési korlátozások megkerülését.
Leírás forrása: CWE-863Elemzés leírás
Eredeti nyelven: Incorrect authorization checks in GitLab CE/EE from all versions starting from 8.13 before 16.5.6, all versions starting from 16.6 before 16.6.4, all versions starting from 16.7 before 16.7.2, allows a user to abuse slack/mattermost integrations to execute slash commands as another user.
Elemzés leírás forrása: CVE-2023-5356Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.6 (Kritikus)
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Impact Score: 5.8
Exploitability Score: 3.1
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): None
Következmények
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
GitLab CE/EE a 16.5.6 előtti 8.13-as verziótól kezdve, a 16.6.4 előtti 16.6.6-os verziótól kezdve, a 16.7.2 előtti 16.7.7-es verziótól kezdve.