CVE-2021-22223

Опубликовано: 06 июл. 2021

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link

Ссылки

https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22223.json
Vendor Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/293946
Broken Link
https://hackerone.com/reports/1059557
Permissions Required
https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22223.json
Vendor Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/293946
Broken Link
https://hackerone.com/reports/1059557
Permissions Required

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 13.9.0 (включая) до 13.11.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 13.9.0 (включая) до 13.11.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 13.12.0 (включая) до 13.12.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 13.12.0 (включая) до 13.12.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 14.0.0 (включая) до 14.0.2 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 14.0.0 (включая) до 14.0.2 (исключая)

EPSS

Процентиль: 54%

0.00308

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

CVE-2021-22223

CVSS3: 6.1

ubuntu

почти 4 года назад

Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link

CVE-2021-22223

CVSS3: 6.1

debian

почти 4 года назад

Client-Side code injection through Feature Flag name in GitLab CE/EE s ...

GHSA-9rx5-594g-qxq8

github

около 3 лет назад

Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link

BDU:2022-02150

CVSS3: 6.1

fstec

почти 4 года назад

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 54%

0.00308

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79