Vulnerabilidad en Container Registry de otros grupos en los registros Docker en GitLab Enterprise (CVE-2019-12825)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2020
Última modificación:
28/02/2020
Descripción
Se detectó un Acceso no Autorizado en Container Registry de otros grupos en GitLab Enterprise versión 12.0.0-pre. En otras palabras, atacantes remotos autenticados pueden leer registros Docker de otros grupos. Cuando un usuario legítimo cambia la ruta de un grupo, los registros Docker no son adaptados, dejándolos en el antiguo espacio de nombres. No están protegidos y están disponibles para todos los demás usuarios sin acceso previo al repo.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 12.0.1 (incluyendo) | 12.5.0 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:* | ||
cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página