Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una cuenta de usuario en GitLab (CVE-2021-22263)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
11/10/2021
Última modificación:
18/10/2021

Descripción

Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. Una cuenta de usuario con estado "external" a la que se le haya concedido el rol "Maintainer" en cualquier proyecto de la instancia de GitLab en la que se permitan los "tokens de proyecto" puede elevar su privilegio a "Internal" y acceder a los proyectos Internos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 13.0.0 (incluyendo) 14.0.9 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 13.0.0 (incluyendo) 14.0.9 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 14.1.0 (incluyendo) 14.1.4 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 14.1.0 (incluyendo) 14.1.4 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 14.2.0 (incluyendo) 14.2.2 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 14.2.0 (incluyendo) 14.2.2 (excluyendo)