CVE-2021-39895

Опубликовано: 05 нояб. 2021

Источник: nvd

CVSS3: 6

CVSS3: 4.5

CVSS2: 2.1

EPSS Низкий

Описание

In all versions of GitLab CE/EE since version 8.0, an attacker can set the pipeline schedules to be active in a project export so when an unsuspecting owner imports that project, pipelines are active by default on that project. Under specialized conditions, this may lead to information disclosure if the project is imported from an untrusted source.

Ссылки

https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39895.json
Vendor Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/337824
Broken Link
https://hackerone.com/reports/1272535
Permissions Required
Third Party Advisory
https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39895.json
Vendor Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/337824
Broken Link
https://hackerone.com/reports/1272535
Permissions Required
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 8.0.0 (включая) до 14.1.7 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 8.0.0 (включая) до 14.1.7 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 14.2.0 (включая) до 14.2.5 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 14.2.0 (включая) до 14.2.5 (исключая)

cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:community:*:*:*

cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:enterprise:*:*:*

EPSS

Процентиль: 51%

0.00281

Низкий

6 Medium

CVSS3

4.5 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2021-39895

CVSS3: 6

ubuntu

больше 4 лет назад

CVE-2021-39895

CVSS3: 6

debian

больше 4 лет назад

In all versions of GitLab CE/EE since version 8.0, an attacker can set ...

GHSA-c3rv-jv45-94rx

github

больше 3 лет назад

EPSS

Процентиль: 51%

0.00281

Низкий

6 Medium

CVSS3

4.5 Medium

CVSS3

2.1 Low

CVSS2

Дефекты

NVD-CWE-noinfo