CVE-2023-5332

Опубликовано: 04 дек. 2023

Источник: nvd

CVSS3: 5.9

CVSS3: 8.1

EPSS Низкий

Описание

Patch in third party library Consul requires 'enable-script-checks' to be set to False. This was required to enable a patch by the vendor. Without this setting the patch could be bypassed. This only affects GitLab-EE.

Ссылки

https://gitlab.com/gitlab-org/omnibus-gitlab/-/issues/8171
Exploit
Issue Tracking
https://www.hashicorp.com/blog/protecting-consul-from-rce-risk-in-specific-configurations
Patch
Vendor Advisory
https://gitlab.com/gitlab-org/omnibus-gitlab/-/issues/8171
Exploit
Issue Tracking
https://www.hashicorp.com/blog/protecting-consul-from-rce-risk-in-specific-configurations
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 9.5.0 (включая) до 16.2.8 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.3.0 (включая) до 16.3.5 (исключая)

cpe:2.3:a:gitlab:gitlab:16.4.0:*:*:*:enterprise:*:*:*

Конфигурация 2

Одно из

cpe:2.3:a:hashicorp:consul:*:*:*:*:-:*:*:*

Версия до 0.9.4 (исключая)

cpe:2.3:a:hashicorp:consul:*:*:*:*:-:*:*:*

Версия от 1.0.0 (включая) до 1.0.8 (исключая)

cpe:2.3:a:hashicorp:consul:*:*:*:*:-:*:*:*

Версия от 1.2.0 (включая) до 1.2.4 (исключая)

cpe:2.3:a:hashicorp:consul:1.1.0:*:*:*:-:*:*:*

EPSS

Процентиль: 4%

0.00021

Низкий

5.9 Medium

CVSS3

8.1 High

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2023-5332

CVSS3: 5.9

ubuntu

больше 1 года назад

CVE-2023-5332

CVSS3: 8.1

redhat

больше 1 года назад

CVE-2023-5332

CVSS3: 5.9

debian

больше 1 года назад

Patch in third party library Consul requires 'enable-script-checks' to ...

GHSA-xcgm-v273-44cr

CVSS3: 5.9

github

больше 1 года назад

EPSS

Процентиль: 4%

0.00021

Низкий

5.9 Medium

CVSS3

8.1 High

CVSS3

Дефекты

NVD-CWE-noinfo