ГлавнаяБаза уязвимостей БДУ → BDU:2022-03328
8.3критическая

BDU:2022-03328 (CVE-2022-1680)

Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab, связанная с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты, позволяющая нарушителю выполнить захват учетных записей пользователей путем изменения адреса их электронной почты
Опубликовано: 2022-06-07
Описание

Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab связана с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить захват учетных записей пользователей путем изменения адреса их электронной почты

Затрагиваемое ПО и версии
Gitlab (от 11.10 до 14.9.5)Gitlab (от 14.10 до 14.10.4)Gitlab (от 15.0 до 15.0.1)
Способ устранения

Компенсирующие меры:
- использование многофакторной аутентификации;
- отключение SAML SSO аутентификации.

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://www.tenable.com/cve/CVE-2022-1680https://nvd.nist.gov/vuln/detail/CVE-2022-1680https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1680.jsonhttps://gitlab.com/gitlab-org/gitlab/-/issues/363058
Проверьте безопасность своего сайта и почты → Полная проверка домена