PT-2022-13884 · Gitlab · Gitlab

Iwison

Publicado

2022-05-10

Atualizado

2024-03-06

CVE-2022-1431

CVSS v2.0

5.0

Média

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:P

Nome do software vulnerável e versões afetadas

Versões do GitLab 12.10 a 14.8.6

Versões do GitLab 14.9 a 14.9.4

Versões do GitLab 14.10 a 14.10.1

Descrição

A vulnerabilidade afeta o tratamento feito pelo GitLab de solicitações maliciosas ao endpoint da API PyPi, permitindo que um invasor cause consumo descontrolado de recursos.

Recomendações

Para as versões do GitLab 12.10 a 14.8.6, atualize para a versão 14.8.6 ou posterior.

Para as versões do GitLab 14.9 a 14.9.4, atualize para a versão 14.9.4 ou posterior.

Para as versões do GitLab 14.10 a 14.10.1, atualize para a versão 14.10.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao endpoint da API PyPi até que um patch esteja disponível.

Exploit

Correção

XSS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-20

Identificadores relacionados

BIT-GITLAB-2022-1431

CVE-2022-1431

Produtos afetados

Gitlab

PT-2022-13884 · Gitlab · Gitlab

CVE-2022-1431

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7