GitLab устранил проблему в GitLab CE/EE, затрагивающую все версии с 18.6 до 18.6.6, 18.7 до 18.7.4 и 18.8 до 18.8.4, которая при определенных условиях могла позволить аутентифицированному пользователю выполнять несанкционированные операции путем отправки мутаций GraphQL через конечную точку API GLQL.
Показать оригинальное описание (английский)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 18.6 before 18.6.6, 18.7 before 18.7.4, and 18.8 before 18.8.4 that, under certain conditions could have allowed an authenticated user to perform unauthorized operations by submitting GraphQL mutations through the GLQL API endpoint.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Высокая
Сложно эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Нет
Нет утечки данных
Влияние на целостность
Низкое
Частичная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N