Vulnerabilidad en los archivos en el repositorio de paquetes NPM en GitLab CE/EE (CVE-2021-39942)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
18/01/2022
Última modificación:
25/01/2022
Descripción
Una vulnerabilidad de denegación de servicio en GitLab CE/EE que afecta a todas las versiones a partir de la 12.0 anteriores a 14.3.6, a todas las versiones a partir de la 14.4 anteriores a 14.4.4, a todas las versiones a partir de la 14.5 anteriores a 14.5.2, permite a usuarios poco privilegiados omitir los límites de tamaño de los archivos en el repositorio de paquetes NPM para causar potencialmente una denegación de servicio
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 12.0 (incluyendo) | 14.3.6 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 12.0 (incluyendo) | 14.3.6 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.4 (incluyendo) | 14.4.4 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.4 (incluyendo) | 14.4.4 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.5 (incluyendo) | 14.5.2 (excluyendo) |
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.5 (incluyendo) | 14.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página