PT-2022-21432 · Gitlab · Gitlab Ce/Ee+1
Yvvdwf
·
Publicado
2022-11-09
·
Atualizado
2024-03-06
·
CVE-2022-3265
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitLab CE/EE anteriores à 15.3.5
Versão 15.4 do GitLab CE/EE anterior à 15.4.4
Versão 15.5 do GitLab CE/EE anterior à 15.5.2
Descrição
Foi descoberta uma vulnerabilidade de cross-site scripting no GitLab CE/EE. Era possível explorar uma vulnerabilidade na configuração do recurso de cor das etiquetas, o que poderia levar a um XSS armazenado que permitia que invasores realizassem ações arbitrárias em nome das vítimas no lado do cliente.
Recomendações
Para versões do GitLab CE/EE anteriores à 15.3.5, atualize para a versão 15.3.5 ou posterior.
Para o GitLab CE/EE versão 15.4 anterior à 15.4.4, atualize para a versão 15.4.4 ou posterior.
Para o GitLab CE/EE versão 15.5 anterior à 15.5.2, atualize para a versão 15.5.2 ou posterior.
Como solução temporária, considere restringir o acesso ao recurso de cor das etiquetas até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee