Katalog CVE

CVE-2021-39911

NiskieCVSS 1.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Wszystkie wersje GitLab CE/EE od 13.9 do 14.2.6, od 14.3 do 14.3.4 oraz od 14.4 do 14.4.1 mają lukę w kontroli dostępu, która ujawnia prywatne adresy e-mail przypisanych do zgłoszeń i żądań scalania konsumentom danych Webhook.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie prywatnych informacji użytkowników, co może prowadzić do naruszenia prywatności i zaufania.

Rekomendacja

Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

An improper access control flaw in all versions of GitLab CE/EE starting from 13.9 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 exposes private email address of Issue and Merge Requests assignee to Webhook data consumers

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS