FreeBSD: Gitlab -- 脆弱性 (4c8c2218-b120-11ee-90ec-001b217b3468)

high Nessus プラグイン ID 188030

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、4c8c2218-b120-11ee-90ec-001b217b3468 のアドバイザリに記載された複数の脆弱性の影響を受けます。

- GitLab CE/EE に問題が発見されました。この問題は、16.5.6 より前の 12.2、16.6.4 より前の 16.6、および 16.7.2 より前の 16.7 以降のすべてのバージョンに影響を与え、攻撃者が署名済みコミットのメタデータを変更する可能性があります。(CVE-2023-2030)

- GitLab EE で、15.3 から 16.5.6 より前のすべてのバージョン、16.6 から 16.6.4 より前のすべてのバージョン、16.7 から 16.7.2 より前のすべてのバージョンに影響する問題が発見されました。以前に承認されたマージリクエストに変更を追加することで、必要な CODEOWNERS の承認がバイパスされる可能性があります。
(CVE-2023-4812)

- 16.5.6 より前の 8.13 以降のすべてのバージョン、16.6.4 より前の 16.6 以降のすべてのバージョン、16.7.2 より前の 16.7 以降のすべてのバージョンの GitLab CE/EE における不適切な認証チェックにより、ユーザーが slack/mattermost 統合を悪用して別のユーザーとしてスラッシュコマンドを実行する可能性があります。(CVE-2023-5356)

- GitLab Remote Development に、不適切なアクセスコントロールの脆弱性が存在します。この脆弱性は、16.5.6 より前、16.6.4 より前の 16.6、および 16.7.2 より前の 16.7 のすべてのバージョンに影響を与えます。この状態により、攻撃者があるグループ内に、別のグループのエージェントに関連付けられたワークスペースを作成する可能性があります。(CVE-2023-6955)

- GitLab CE/EE で問題が発見されました。この問題は、16.1.6 より前の 16.1、16.2.9 より前の 16.2、16.3.7 より前の 16.3、16.4.5 より前の 16.4、16.5.6 より前の 16.5、16.6.4 より前の 16.6、および 16.7.2 より前の 16.7 以降のすべてのバージョンに影響を与え、ユーザーアカウントパスワードのリセットメールが、未検証のメールアドレスに配信される可能性があります。(CVE-2023-7028)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。