Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los nombres de reglas de aprobación en la página de creación de peticiones de fusión en Gitlab EE (CVE-2021-39885)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/10/2021
Última modificación:
06/10/2022

Descripción

Un XSS almacenado en la página de creación de solicitudes de fusión en todas las versiones de Gitlab EE a partir de la 13.7 antes de la 14.1.7, todas las versiones a partir de la 14.2 antes de la 14.2.5 y todas las versiones a partir de la 14.3 antes de la 14.3.1 permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima a través de nombres de reglas de aprobación maliciosos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 13.7.0 (incluyendo) 14.1.7 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 14.2.0 (incluyendo) 14.2.5 (excluyendo)
cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:enterprise:*:*:*