GitLab устранил проблему в GitLab CE/EE, затрагивающую все версии с 10.8 до 18.6.6, 18.7 до 18.7.4 и 18.8 до 18.8.4, которая при определенных условиях могла позволить неаутентифицированному пользователю вызвать отказ в обслуживании путем отправки повторных запросов GraphQL.
Показать оригинальное описание (английский)
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 10.8 before 18.6.6, 18.7 before 18.7.4, and 18.8 before 18.8.4 that, under certain conditions, could have allowed an unauthenticated user to cause denial of service by sending repeated GraphQL queries.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Нет
Нет утечки данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H