Уязвимость подделки серверных запросов (SSRF) в GitLab EE через использование пользовательского URL прокси зависимостей Maven
Описание
Обнаружена уязвимость подделки серверных запросов (SSRF) в GitLab EE. Злоумышленник мог использовать специально созданный URL прокси зависимостей Maven для отправки запросов к внутренним ресурсам.
Затронутые версии ПО
- все версии, начиная с 16.8 до 17.1.7
- все версии, начиная с 17.2 до 17.2.5
- все версии, начиная с 17.3 до 17.3.2
Тип уязвимости
Подделка серверных запросов (SSRF)
Уязвимые конфигурации
Одно из
EPSS
7.7 High
CVSS3
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
A server-side request forgery issue has been discovered in GitLab EE a ...
A server-side request forgery issue has been discovered in GitLab EE affecting all versions starting from 16.8 prior to 17.1.7, from 17.2 prior to 17.2.5, and from 17.3 prior to 17.3.2. It was possible for an attacker to make requests to internal resources using a custom Maven Dependency Proxy URL
Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю выполнять SSRF-атаки
EPSS
7.7 High
CVSS3
6.5 Medium
CVSS3