FreeBSD:Gitlab -- 複数の脆弱性(e72a8864-e0bc-11e7-b627-d43d7e971a1b)
high Nessus プラグイン ID 105260
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
GitLab による報告:プライベートWikiへのアクセス権のないユーザーがプロジェクトページでこれを参照可能。Matthias Burtscher氏は、ユーザーが対応する権限なしにプロジェクトページでプライベートWikiを表示できることを報告しました。メンバー検索フィールドによるメールアドレスの漏洩。Hugo Geoffroy氏は、メンバー検索フィールドのブルートフォース攻撃によって、任意のユーザーの完全なメールアドレスを検出できることをHackerOneで報告しました。グループAPIがプライベートプロジェクトを漏洩。内部コードレビューにより、ユーザーがグループAPIを使用して、アクセス権のないプライベートプロジェクトを一覧表示できることが検出されました。コメントの編集によるクロスサイトスクリプティング(XSS)が可能。Sylvain Heiniger氏は、コメントの編集時に任意のJavaScriptコードが実行される可能性があることをHackerOneで報告しました。Issue APIにより、問題が制限または無効化されている場合でも、すべてのユーザーが新しい問題を作成することができます。Mohammad Hasbini氏は、問題がプロジェクト設定でチームメンバーに無効化または制限されている場合でも、任意のユーザーがプロジェクトで新しい問題を作成できることを報告しました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 105260
ファイル名: freebsd_pkg_e72a8864e0bc11e7b627d43d7e971a1b.nasl
バージョン: 3.3
タイプ: local
公開日: 2017/12/15
更新日: 2021/1/4
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:gitlab, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2017/12/14
脆弱性公開日: 2017/12/8