PT-2021-22741 · Gitlab · Gitlab Ce/Ee+1
Justas_Bon
·
Publicado
2021-11-04
·
Atualizado
2024-03-06
·
CVE-2021-39895
CVSS v3.1
6.0
Média
| Vetor | AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:L |
**Nome do software vulnerável e versões afetadas:
GitLab CE/EE versões 8.0 e posteriores
Descrição:
A vulnerabilidade permite que um invasor configure agendamentos de pipeline para ficarem ativos na exportação de um projeto. Quando um proprietário desavisado importa esse projeto, os pipelines ficam ativos por padrão, o que pode levar à divulgação de informações caso o projeto seja importado de uma fonte não confiável.
Recomendações:
Para as versões 8.0 e posteriores do GitLab CE/EE, considere desativar as programações de pipeline por padrão para projetos importados, a fim de minimizar o risco de divulgação de informações. Como solução temporária, restrinja a capacidade de importar projetos de fontes não confiáveis até que uma solução mais permanente esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee