Fuga de información en todas las versiones de GitLab EE

Ciertas versiones de GitLab de GitLab contienen la siguiente vulnerabilidad

Se identificó un problema de fuga de información en todas las versiones de GitLab EE desde la 13.7 anterior a la 15.4.6, la 15.5 anterior a la 15.5.5 y la 15.6 anterior a la 15.6.1 que expone la identificación de correo electrónico del usuario a través de la carga del webhook.

GitLab introdujo un nuevo evento de Webhook grupal para usuarios premium en la versión 13.7. Este webhook envía información a una URL configurada cada vez que se agrega o elimina un usuario del grupo. Las solicitudes realizadas a la URL contienen la dirección de correo electrónico principal (oculta) del usuario agregado.

Durante el proceso de revisión de la corrección de errores para el problema #364266 , surgió una sospecha sobre una fuga de seguridad similar en otras áreas relacionadas (eventos de webhook). Este problema se crea como un seguimiento basado en el comentario de revisión para investigar y solucionar la falla de seguridad.

CVE-2022-4205: En Gitlab EE/CE antes de 15.6.1, 15.5.5 y 15.4.6, el uso de una rama con un nombre hexadecimal podría anular un hash existente.

CVE-2022-4201: Un SSRF ciego en GitLab CE/EE que afecta a todos desde 11.3 antes de 15.4.6, 15.5 antes de 15.5.5 y 15.6 antes de 15.6.1 permite que un atacante se conecte a direcciones locales al configurar un GitLab Runner malicioso.

Otras referencias sobre vulnerabilidades CVE

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-01. Fecha publicación el 2023-02-01. Autor: Oscar olg Mapa del sitio Fuente: github