Уязвимость несанкционированного доступа к исходному коду закрытого проекта в GitLab EE через использование групповых шаблонов
Описание
Обнаружена проблема в GitLab EE, где гость мог получить возможность читать исходный код закрытого проекта с использованием групповых шаблонов.
Затронутые версии ПО
- все версии, начиная с 11.2 до 17.1.7
- все версии, начиная с 17.2 до 17.2.5
- все версии, начиная с 17.3 до 17.3.2
Тип уязвимости
Неавторизованный доступ к данным
Уязвимые конфигурации
Конфигурация 1Версия от 11.2.0 (включая) до 17.1.7 (исключая)Версия от 17.2.0 (включая) до 17.2.5 (исключая)Версия от 17.3.0 (включая) до 17.3.2 (исключая)
Одно из
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
EPSS
Процентиль: 20%
0.00065
Низкий
6.5 Medium
CVSS3
7.5 High
CVSS3
Дефекты
CWE-862
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 6.5
debian
11 месяцев назад
An issue has been discovered in GitLab EE affecting all versions start ...
CVSS3: 6.5
github
11 месяцев назад
An issue has been discovered in GitLab EE affecting all versions starting from 11.2 before 17.1.7, all versions starting from 17.2 before 17.2.5, all versions starting from 17.3 before 17.3.2. It was possible for a guest to read the source code of a private project by using group templates.
EPSS
Процентиль: 20%
0.00065
Низкий
6.5 Medium
CVSS3
7.5 High
CVSS3
Дефекты
CWE-862
NVD-CWE-noinfo