PT-2021-6758 · Gitlab · Gitlab Ce/Ee+1
Yvvdwfon
·
Publicado
2021-07-06
·
Atualizado
2024-03-06
·
CVE-2021-22223
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 11.9 e posteriores
Descrição
A vulnerabilidade está relacionada à injeção de código no lado do cliente por meio de um nome de sinalizador de recurso (Feature Flag) especialmente criado no GitLab, permitindo que um invasor envie solicitações PUT em nome de outros usuários por meio de um link. Isso se deve à filtragem insuficiente das descrições dos Feature Flags, o que pode ser explorado por um invasor remoto para comprometer a integridade dos dados.
Recomendações
Para as versões 11.9 e posteriores do GitLab CE/EE, atualize para uma versão que inclua a correção para este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee