Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01820

Опубликовано: 05 апр. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Критический

Описание

Уязвимость программной платформы для совместной работы над кодом GitLab связана с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к учетным записям пользователей

Вендор

GitLab Inc.

Наименование ПО

Gitlab

Версия ПО

от 14.7 до 14.7.7 (Gitlab)
от 14.8 до 14.8.5 (Gitlab)
от 14.9 до 14.9.2 (Gitlab)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование многофакторной аутентификации.
Информация от производителя:
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.9106
Критический

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-1162

CVSS3: 9.1
ubuntu
около 3 лет назад

A hardcoded password was set for accounts registered using an OmniAuth provider (e.g. OAuth, LDAP, SAML) in GitLab CE/EE versions 14.7 prior to 14.7.7, 14.8 prior to 14.8.5, and 14.9 prior to 14.9.2 allowing attackers to potentially take over accounts

nvd логотип

CVE-2022-1162

CVSS3: 9.1
nvd
около 3 лет назад

A hardcoded password was set for accounts registered using an OmniAuth provider (e.g. OAuth, LDAP, SAML) in GitLab CE/EE versions 14.7 prior to 14.7.7, 14.8 prior to 14.8.5, and 14.9 prior to 14.9.2 allowing attackers to potentially take over accounts

debian логотип

CVE-2022-1162

CVSS3: 9.1
debian
около 3 лет назад

A hardcoded password was set for accounts registered using an OmniAuth ...

github логотип

GHSA-vrqc-vwgr-qqp5

CVSS3: 9.8
github
около 3 лет назад

A hardcoded password was set for accounts registered using an OmniAuth provider (e.g. OAuth, LDAP, SAML) in GitLab CE/EE versions 14.7 prior to 14.7.7, 14.8 prior to 14.8.5, and 14.9 prior to 14.9.2 allowing attackers to potentially take over accounts

EPSS

Процентиль: 100%
0.9106
Критический

9.1 Critical

CVSS3

9.4 Critical

CVSS2