GitLab CE/EE sérülékenysége
Angol cím: GitLab CE/EE vulnerability
Publikálás dátuma: 2024.01.25.
Utolsó módosítás dátuma: 2024.01.26.
Leírás
A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.
Leírás forrása: CWE-22 Leírás utolsó módosítása: 2024.01.26.Elemzés leírás
Eredeti nyelven: An issue has been discovered in GitLab CE/EE affecting all versions from 16.0 prior to 16.6.6, 16.7 prior to 16.7.4, and 16.8 prior to 16.8.1 which allows an authenticated user to write files to arbitrary locations on the GitLab server while creating a workspace.
Elemzés leírás forrása: CVE-2024-0402 Elemzés leírás utolsó módosítása: 2024.01.26.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.9 (Kritikus)
Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 3.1
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
GitLab CE/EE 16.0 és a 16.5.8 előtti,
a 16.6 és a 16.6.6 előtti,
a 16.7 és a 16.7.4 előtti,
valamint a 16.8 és a 16.8.1 előtti verziók