FreeBSD:Gitlab -- Gitlab(1d651770-f4f5-11eb-ba49-001b217b3468)
high Nessus プラグイン ID 152227
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Gitlabによる報告:Markdownファイルを表示する際のMermaidにおける蓄積型XSS
デフォルトのブランチ名における蓄積型XSS
なりすましが無効になっている場合でも、なりすましトークンでGitのアクションを実行します
タグとブランチ名の混乱により、開発者は保護されたCI変数にアクセスできます
新しいサブスクリプションは、正しくないOAuthクライアントアプリケーションでOAuthトークンを生成します
自身のユーザーのなりすましトークンをリストおよび削除する機能
CI/CDを表示する権利を持たないユーザーに対して、パイプラインページが部分的に表示されます
招待URLでの不適切なメールの検証
権限のないユーザーが、問題作成時にメタデータを追加できました
権限のないユーザーが、保護された環境へのデプロイメントを発生させる可能性があります
プライベートプロジェクトのゲストはCI/CD分析を表示できます
ゲストユーザーが、Sentryエラーに対する問題を作成し、ステータスを追跡する可能性があります
グループの招待による、プライベートユーザーのメール漏洩
プロジェクトは、グループ設定によりブロックされるべきメールアドレスドメインを持つメンバーを追加することが許可されています
ユーザー名を誤解すると、SSH証明書の使用時になりすましを引き起こす可能性があります
権限のないユーザーは、プロジェクトの脆弱性レポートにアクセスして表示することができます
無効な形式のコミット作成者が引き起こすリポジトリでのサービス拒否
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 152227
ファイル名: freebsd_pkg_1d651770f4f511ebba49001b217b3468.nasl
バージョン: 1.3
タイプ: local
公開日: 2021/8/5
更新日: 2021/9/7
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-22236
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:gitlab-ce, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2021/8/4
脆弱性公開日: 2021/8/3