Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la expresión regular en los nombres de paquetes en GitLab (CVE-2020-26414)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/01/2021
Última modificación:
21/01/2021

Descripción

Se ha detectado un problema en GitLab afectando a todas las versiones desde 12.4. La expresión regular utilizada para los nombres de paquetes está escrita de una manera que hace que el tiempo de ejecución tenga un crecimiento cuadrático en la longitud de la cadena de entrada maliciosa

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 12.4.0 (incluyendo) 13.5.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 12.4.0 (incluyendo) 13.5.6 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 13.6.0 (incluyendo) 13.6.4 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 13.6.0 (incluyendo) 13.6.4 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 13.7.0 (incluyendo) 13.7.2 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 13.7.0 (incluyendo) 13.7.2 (excluyendo)