Vulnerabilidad en la API en GitLab (CVE-2020-13333)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
06/10/2020
Última modificación:
29/10/2020
Descripción
Se detectó una potencial vulnerabilidad de DOS en GitLab versiones 13.1, 13.2 y 13.3. La API para actualizar un activo como un enlace desde una versión que tenía una comprobación de expresiones regulares que causó un número exponencial de retrocesos para determinados valores suministrados por el usuario, resultando en un alto uso de la CPU
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlab:gitlab:13.1.0:*:*:*:community:*:*:* | ||
| cpe:2.3:a:gitlab:gitlab:13.1.0:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:gitlab:gitlab:13.2.0:*:*:*:community:*:*:* | ||
| cpe:2.3:a:gitlab:gitlab:13.2.0:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:gitlab:gitlab:13.3.0:*:*:*:community:*:*:* | ||
| cpe:2.3:a:gitlab:gitlab:13.3.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página