GitLab CE/EE sérülékenysége
Angol cím: GitLab CE/EE vulnerability
Publikálás dátuma: 2024.01.12.
Utolsó módosítás dátuma: 2024.05.01.
Leírás
A szoftver jelszó visszállítási mechanizmusa, (amelyel a felhasználók helyreállíthatják vagy megváltoztatják jelszavak anélkül, hogy tudnák az eredeti jelszót) nem megfelelő biztonságú.
A program nem, vagy nem megfelelően korlátozza az erőforrásokhoz való hozzáférést a jogosulatlan felhasználók részére.
Leírás forrása: CWE-640 CWE-284Elemzés leírás
Eredeti nyelven: An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4 prior to 16.4.5, 16.5 prior to 16.5.6, 16.6 prior to 16.6.4, and 16.7 prior to 16.7.2 in which user account password reset emails could be delivered to an unverified email address.
Elemzés leírás forrása: CVE-2023-7028Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 10.0 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
Impact Score: 5.8
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): None
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
GitLab Community és Enterprise 16.7.2, 16.5.6 és 16.6.4 előtti verziók