Vulnerabilidad en la red interna para los webhooks en GitLab (CVE-2021-22175)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
11/06/2021
Última modificación:
18/02/2026
Descripción
Cuando se habilitan las peticiones a la red interna para los webhooks, una vulnerabilidad de tipo server-side request forgery en GitLab que afecta a todas las versiones desde 10.5, era posible explotar por un atacante no autenticado incluso en una instancia de GitLab en la que el registro está deshabilitado
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 10.5.0 (incluyendo) | 13.6.7 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 10.5.0 (incluyendo) | 13.6.7 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 13.7.0 (incluyendo) | 13.7.7 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.7.0 (incluyendo) | 13.7.7 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 13.8.0 (incluyendo) | 13.8.4 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.8.0 (incluyendo) | 13.8.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22175.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/294178
- https://hackerone.com/reports/1059596
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22175.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/294178
- https://hackerone.com/reports/1059596
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-22175