8.3критическая
BDU:2022-03328 (CVE-2022-1680)
Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab, связанная с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты, позволяющая нарушителю выполнить захват учетных записей пользователей путем изменения адреса их электронной почты
Опубликовано: 2022-06-07
Описание
Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab связана с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить захват учетных записей пользователей путем изменения адреса их электронной почты
Затрагиваемое ПО и версии
Gitlab (от 11.10 до 14.9.5)Gitlab (от 14.10 до 14.10.4)Gitlab (от 15.0 до 15.0.1)
Способ устранения
Компенсирующие меры:
- использование многофакторной аутентификации;
- отключение SAML SSO аутентификации.
Оценка CVSS
| Балл | 8.3 — критическая опасность |
Источники и патчи