Katalog CVE

CVE-2023-3363

NiskieCVSS 3.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W Gitlab CE/EE wystąpił problem z ujawnieniem informacji, który dotyczy wszystkich wersji od 13.6 do przed 15.11.10, od 16.0 do przed 16.0.6 oraz od 16.1 do przed 16.1.1. Problem polega na tym, że logi Sidekiq zawierały tokeny webhooków, gdy format logu był ustawiony na 'default'.

Ocena ryzyka

Ujawnienie tokenów webhooków może prowadzić do nieautoryzowanego dostępu do zasobów i danych w systemie, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Gitlab do najnowszej wersji, aby usunąć tę podatność oraz rozważenie zmiany formatu logów, aby nie ujawniały wrażliwych informacji.

Oryginalny opis (angielski, źródło NVD)

An information disclosure issue in Gitlab CE/EE affecting all versions from 13.6 prior to 15.11.10, all versions from 16.0 prior to 16.0.6, all versions from 16.1 prior to 16.1.1, resulted in the Sidekiq log including webhook tokens when the log format was set to `default`.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS