Уязвимость внедрения команд в подключенный Cube-сервер в GitLab EE из-за неполной фильтрации входных данных
Описание
Обнаружена проблема в GitLab EE, где из-за неполной фильтрации входных данных злоумышленник мог внедрить команды в подключенный Cube-сервер.
Затронутые версии ПО
- все версии, начиная с 16.11 до 17.1.7
- все версии, начиная с 17.2 до 17.2.5
- все версии, начиная с 17.3 до 17.3.2
Тип уязвимости
Внедрение команд
Уязвимые конфигурации
Одно из
EPSS
8.5 High
CVSS3
8.8 High
CVSS3
Дефекты
Связанные уязвимости
An issue has been discovered in GitLab EE affecting all versions start ...
An issue has been discovered in GitLab EE affecting all versions starting from 16.11 prior to 17.1.7, from 17.2 prior to 17.2.5, and from 17.3 prior to 17.3.2. Due to incomplete input filtering, it was possible to inject commands into a connected Cube server.
Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с непринятием мер по чистке данных на управляющем уровне, позволяющая нарушителю внедрять команды
EPSS
8.5 High
CVSS3
8.8 High
CVSS3