FreeBSD:Gitlab -- 複数の脆弱性(33557582-3958-11ec-90ba-001b217b3468)
medium Nessus プラグイン ID 154774
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Gitlabによる報告:ipynbファイルを介したXSSの保存
インポートしたプロジェクトのパイプラインスケジュールを、インポート後に自動的にアクティブに設定できます
Workhorseを介した潜在的なサービス拒否
不適切なアクセスコントロールにより、マージリクエスト作成者がロック状態をバイパスする可能性があります
Projects APIがプライベートグループのIDと名前を漏洩します
ゲストユーザーがインシデントの重要度を変更する可能性があります
システムrootパスワードが誤ってログファイルに書き込まれます
無効な形式のTIFF画像による潜在的なDoS
CODEOWNERSマージリクエスト承認要件のバイパス
プロジェクトの可視性を制限付きオプションに変更
プロジェクトのエクスポートで外部webhookトークン値が漏洩する
作成後にSCIMトークンが表示される
招待されたサブグループが転送された後も、親グループから受け継いだアクセス権を持つ、招待されたグループメンバーがプロジェクトへのアクセス権を持ち続ける
名前空間パスを消去する際の正規表現のサービス拒否問題
アプリケーションAPIを使用して、スコープのないアプリの作成を防止します
Webhookデータが担当者のプライベートメールアドレスを漏洩
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 154774
ファイル名: freebsd_pkg_33557582395811ec90ba001b217b3468.nasl
バージョン: 1.5
タイプ: local
公開日: 2021/11/1
更新日: 2023/11/27
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 5.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2021-39913
CVSS v3
リスクファクター: Medium
基本値: 6.7
現状値: 6
ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:gitlab-ce
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/10/30
脆弱性公開日: 2021/10/28
参照情報
CVE: CVE-2021-39895, CVE-2021-39897, CVE-2021-39898, CVE-2021-39901, CVE-2021-39902, CVE-2021-39903, CVE-2021-39904, CVE-2021-39905, CVE-2021-39906, CVE-2021-39907, CVE-2021-39909, CVE-2021-39911, CVE-2021-39912, CVE-2021-39913, CVE-2021-39914
IAVA: 2021-A-0523-S