PT-2025-1562 · Gitlab · Gitlab Ce/Ee
Imreradon
·
Publicado
2023-11-12
·
Atualizado
2025-08-05
·
CVE-2023-6195
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do GitLab CE/EE 15.5 até 16.9.7
Versões do GitLab CE/EE 16.10 até 16.10.5
Versões do GitLab CE/EE 16.11 até 16.11.2
Descrição
O problema está relacionado à Falsificação de Solicitação do Lado do Servidor (SSRF) no GitLab CE/EE. Um atacante pode explorar isso utilizando uma URL maliciosa no valor da imagem em markdown ao importar um repositório do GitHub. Isso permite que um atacante remoto execute um ataque SSRF devido à validação insuficiente de solicitações do lado do servidor.
Recomendações
Para as versões do GitLab CE/EE 15.5 até 16.9.7, atualize para a versão 16.9.7 ou posterior.
Para as versões do GitLab CE/EE 16.10 até 16.10.5, atualize para a versão 16.10.5 ou posterior.
Para as versões do GitLab CE/EE 16.11 até 16.11.2, atualize para a versão 16.11.2 ou posterior.
Como solução temporária, considere restringir o uso de valores de imagem em markdown ao importar repositórios do GitHub até que uma correção esteja disponível.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab Ce/Ee