Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Bitbucket Oauth en GitLab Community and Enterprise Edition. (CVE-2019-6788)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/09/2019
Última modificación:
24/08/2020

Descripción

Se descubrió un problema en GitLab Community and Enterprise Edition versiones anteriores a 11.5.8, versiones 11.6.x anteriores a 11.6.6 y versiones 11.7.x anteriores a 11.7.1. Permite la divulgación de información (problema 3 de 6). Para instalaciones que utilizan integraciones GitHub o Bitbucket OAuth, es posible usar un redireccionamiento encubierto para obtener el token OAuth de usuario para esos servicios.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 8.4.0 (incluyendo) 11.5.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 8.4.0 (incluyendo) 11.5.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 11.6.0 (incluyendo) 11.6.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 11.6.0 (incluyendo) 11.6.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 11.7.0 (incluyendo) 11.7.1 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 11.7.0 (incluyendo) 11.7.1 (excluyendo)