CVE-2022-1423

Опубликовано: 19 мая 2022

Источник: nvd

CVSS3: 7.1

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

Improper access control in the CI/CD cache mechanism in GitLab CE/EE affecting all versions starting from 1.0.2 before 14.8.6, all versions from 14.9.0 before 14.9.4, and all versions from 14.10.0 before 14.10.1 allows a malicious actor with Developer privileges to perform cache poisoning leading to arbitrary code execution in protected branches

Ссылки

https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1423.json
Third Party Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/330047
Broken Link
https://hackerone.com/reports/1182375
Permissions Required
Third Party Advisory
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1423.json
Third Party Advisory
https://gitlab.com/gitlab-org/gitlab/-/issues/330047
Broken Link
https://hackerone.com/reports/1182375
Permissions Required
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 1.0.2 (включая) до 14.8.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 1.0.2 (включая) до 14.8.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 14.9.0 (включая) до 14.9.4 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 14.9.0 (включая) до 14.9.4 (исключая)

cpe:2.3:a:gitlab:gitlab:14.10.0:*:*:*:community:*:*:*

cpe:2.3:a:gitlab:gitlab:14.10.0:*:*:*:enterprise:*:*:*

EPSS

Процентиль: 26%

0.00093

Низкий

7.1 High

CVSS3

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-862

Связанные уязвимости

CVE-2022-1423

CVSS3: 7.1

ubuntu

больше 3 лет назад

CVE-2022-1423

CVSS3: 7.1

debian

больше 3 лет назад

Improper access control in the CI/CD cache mechanism in GitLab CE/EE a ...

GHSA-2f58-3p8j-4mx4

CVSS3: 8.8

github

больше 3 лет назад

EPSS

Процентиль: 26%

0.00093

Низкий

7.1 High

CVSS3

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-862