Уязвимость социальной инженерии через расхождение между веб-интерфейсом и CLI Git в GitLab CE/EE
Описание
В GitLab CE/EE обнаружена уязвимость, затрагивающая все версии до 17.0.6, 17.1.4 и 17.2.2 соответственно. Проблема заключается в возможности злоумышленника воспользоваться расхождением между отображением данных в веб-приложении и интерфейсом командной строки Git для введения жертв в заблуждение. Это может привести к клонированию ненадежного кода.
Затронутые версии ПО
- GitLab CE/EE < 17.0.6
- GitLab CE/EE >= 17.1, < 17.1.4
- GitLab CE/EE >= 17.2, < 17.2.2
Тип уязвимости
Социальная инженерия (введение в заблуждение через расхождение интерфейсов)
Ссылки
- Broken Link
- Permissions Required
Уязвимые конфигурации
Одно из
EPSS
5.3 Medium
CVSS3
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
An issue has been discovered in GitLab CE/EE affecting all versions before 17.0.6, 17.1 prior to 17.1.4, and 17.2 prior to 17.2.2. An issue was found that allows someone to abuse a discrepancy between the Web application display and the git command line interface to social engineer victims into cloning non-trusted code.
An issue has been discovered in GitLab CE/EE affecting all versions be ...
An issue has been discovered in GitLab CE/EE affecting all versions before 17.0.6, 17.1 prior to 17.1.4, and 17.2 prior to 17.2.2. An issue was found that allows someone to abuse a discrepancy between the Web application display and the git command line interface to social engineer victims into cloning non-trusted code.
Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код
EPSS
5.3 Medium
CVSS3
6.5 Medium
CVSS3