Vulnerabilidad en peticiones PUT en el marcado Mermaid en GitLab CE/EE (CVE-2020-13262)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
19/06/2020
Última modificación:
21/07/2021
Descripción
Una inyección de código de tipo Client-Side por medio del marcado Mermaid en GitLab CE/EE versiones 12.9 y posteriores hasta la versión 13.0.1, permite una carga útil de Mermaid especialmente diseñada para peticiones PUT en nombre de otros usuarios al cliquear en un enlace
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 12.9.0 (incluyendo) | 12.9.8 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 12.9.0 (incluyendo) | 12.9.8 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 12.10.0 (incluyendo) | 12.10.7 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 12.10.0 (incluyendo) | 12.10.7 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:community:*:*:* | ||
cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página