FreeBSD：Gitlab -- 複数の脆弱性（8ba8278d-db06-11eb-ba49-001b217b3468）

high Nessus プラグイン ID 151410

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Gitlabによる報告：

Webhook接続を使用したDoS

GraphQL APIのCSRFにより、GETリクエストによる変異を実行できます

プライベートプロジェクトの情報漏洩

ユーザープロファイルページのサービス拒否

シングルサインオンユーザーがブロックされない

一部のユーザーがDeployキーでProtected Branchにプッシュできます

無効化されたユーザーがGraphQLを通じてデータにアクセスできます

リリース編集ページの折り返し型XSS

クリップボードのDOMベースのXSS

監査ログの蓄積型XSS

プロジェクトメンバーの公開プロジェクトのforkにより、コードベースが漏洩する可能性がある

不適切なテキストレンダリング

フルネームフィールドのHTMLインジェクション

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?a783cd4e

http://www.nessus.org/u?087cd687

プラグインの詳細

深刻度: High

ID: 151410

ファイル名: freebsd_pkg_8ba8278ddb0611ebba49001b217b3468.nasl

バージョン: 1.1

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2021/7/6

更新日: 2021/7/6

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:gitlab-ce, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2021/7/2

脆弱性公開日: 2021/7/1