Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
CVSS base score: 10.0
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of integrity (Sértetlenség elvesztése)
Publikálás dátuma: 2024.01.12.
Érintett rendszerek: GitLab
Leírás
A szoftver jelszó visszállítási mechanizmusa, (amelyel a felhasználók helyreállíthatják vagy megváltoztatják jelszavak anélkül, hogy tudnák az eredeti jelszót) nem megfelelő biztonságú.
A program nem, vagy nem megfelelően korlátozza az erőforrásokhoz való hozzáférést a jogosulatlan felhasználók részére.
Leírás forrása: CWE-640 CWE-284
Hivatkozások
https://gitlab.com/gitlab-org/gitlab/-/issues/436084
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/