Уязвимость проверки прав доступа в GitLab CE/EE, позволяющая LFS-токенам читать и записывать данные в репозиториях пользователя
Описание
Обнаружена уязвимость в проверке прав доступа в GitLab CE/EE, которая позволяет LFS-токенам (Large File Storage) читать и записывать данные в репозиториях, принадлежащих пользователю.
Затронутые версии ПО
- GitLab CE/EE от 8.12 до 17.0.5 включительно
- GitLab CE/EE от 17.1 до 17.1.3 включительно
- GitLab CE/EE от 17.2 до 17.2.1 включительно
Тип уязвимости
Несанкционированный доступ (чтение и запись в репозиториях пользователя)
Ссылки
- Broken Link
- Permissions Required
Уязвимые конфигурации
Одно из
EPSS
6.8 Medium
CVSS3
8.1 High
CVSS3
Дефекты
Связанные уязвимости
A permission check vulnerability in GitLab CE/EE affecting all versions starting from 8.12 prior to 17.0.6, 17.1 prior to 17.1.4, and 17.2 prior to 17.2.2 allowed for LFS tokens to read and write to the user owned repositories.
A permission check vulnerability in GitLab CE/EE affecting all version ...
A permission check vulnerability in GitLab CE/EE affecting all versions starting from 8.12 prior to 17.0.6, 17.1 prior to 17.1.4, and 17.2 prior to 17.2.2 allowed for LFS tokens to read and write to the user owned repositories.
Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с ошибкой обработки токенов LFS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и записывать произвольные файлы
EPSS
6.8 Medium
CVSS3
8.1 High
CVSS3