GitLab устранил проблему в GitLab CE/EE, затрагивающую все версии с 17.1 до 18.6.6, 18.7 до 18.7.4 и 18.8 до 18.8.4, которая при определенных условиях могла позволить аутентифицированному пользователю выполнять несанкционированные действия от имени другого пользователя путем внедрения вредоносного контента в поток кода уязвимости.
Показать оригинальное описание (английский)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 17.1 before 18.6.6, 18.7 before 18.7.4, and 18.8 before 18.8.4 that, under certain conditions could have allowed an authenticated user to perform unauthorized actions on behalf of another user by injecting malicious content into vulnerability code flow.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Требуется
Нужен клик жертвы
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N