Vulnerabilidad en los nombres de reglas de aprobación en la página de creación de peticiones de fusión en Gitlab EE (CVE-2021-39885)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
04/10/2021
Última modificación:
06/10/2022
Descripción
Un XSS almacenado en la página de creación de solicitudes de fusión en todas las versiones de Gitlab EE a partir de la 13.7 antes de la 14.1.7, todas las versiones a partir de la 14.2 antes de la 14.2.5 y todas las versiones a partir de la 14.3 antes de la 14.3.1 permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima a través de nombres de reglas de aprobación maliciosos
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.7.0 (incluyendo) | 14.1.7 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.2.0 (incluyendo) | 14.2.5 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página