GitLab устранил проблему в GitLab CE/EE, затрагивающую все версии с 17.11 до 18.6.6, с 18.7 до 18.7.4 и с 18.8 до 18.8.4, которая при определенных условиях могла позволить аутентифицированному пользователю просматривать определенные значения конвейера путем запроса API.
Показать оригинальное описание (английский)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 17.11 before 18.6.6, 18.7 before 18.7.4, and 18.8 before 18.8.4 that, under certain conditions could have allowed an authenticated user to view certain pipeline values by querying the API.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Требуется
Нужен клик жертвы
Влияние на конфиденциальность
Низкое
Частичная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N