Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la integración de inicio de sesión de Salesforce en GitLab CE/EE (CVE-2019-5486)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
18/12/2019
Última modificación:
30/12/2019

Descripción

Se presenta una vulnerabilidad de omisión de autenticación en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6 y versiones anteriores a v12.1.10, en la integración de inicio de sesión de Salesforce lo que podría ser utilizado por un atacante para crear una cuenta que omitiera las restricciones de dominio y los requisitos de comprobación de correo electrónico.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.1.10 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.1.10 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.2.0 (incluyendo) 12.2.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.2.0 (incluyendo) 12.2.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.3.0 (incluyendo) 12.3.2 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.3.0 (incluyendo) 12.3.2 (excluyendo)


Referencias a soluciones, herramientas e información