Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en protecciones de SSRF en la integración de Kubernetes en GitLab Community and Enterprise Edition (CVE-2019-15728)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
16/09/2019
Última modificación:
18/09/2019

Descripción

Se descubrió un problema en GitLab Community and Enterprise Edition versiones 10.1 hasta 12.2.1. Las protecciones contra ataques de tipo SSRF en la integración de Kubernetes son insuficientes, lo que podría haber permitido a un atacante solicitar cualquier recurso de red local accesible desde el servidor GitLab.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 10.1.0 (incluyendo) 12.0.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 10.1.0 (incluyendo) 12.0.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.1.0 (incluyendo) 12.1.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.1.0 (incluyendo) 12.1.8 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.2.0 (incluyendo) 12.2.3 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.2.0 (incluyendo) 12.2.3 (excluyendo)