PT-2020-9344 · Gitlab · Gitlab
Christoph Hartmann
+1
·
Publicado
2020-02-17
·
Atualizado
2020-02-28
·
CVE-2019-12825
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
GitLab Enterprise versão 12.0.0-pre
Descrição:
A vulnerabilidade permite que invasores remotos autenticados leiam os registros do Docker de outros grupos. Isso ocorre quando um usuário legítimo altera o caminho de um grupo e os registros do Docker não são atualizados, permanecendo no namespace antigo e ficando disponíveis para todos os outros usuários que não tinham acesso prévio ao repositório.
Recomendações:
Para o GitLab Enterprise versão 12.0.0-pre, considere restringir o acesso aos registros do Docker até que uma correção esteja disponível para impedir o acesso não autorizado. Como solução temporária, evite alterar o caminho de um grupo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab