Vulnerabilidad en una cuenta de usuario en GitLab (CVE-2021-22263)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
11/10/2021
Última modificación:
18/10/2021
Descripción
Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. Una cuenta de usuario con estado "external" a la que se le haya concedido el rol "Maintainer" en cualquier proyecto de la instancia de GitLab en la que se permitan los "tokens de proyecto" puede elevar su privilegio a "Internal" y acceder a los proyectos Internos
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 13.0.0 (incluyendo) | 14.0.9 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.0.0 (incluyendo) | 14.0.9 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.1.0 (incluyendo) | 14.1.4 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.1.0 (incluyendo) | 14.1.4 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.2.0 (incluyendo) | 14.2.2 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.2.0 (incluyendo) | 14.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página