2020-2661: GitLab: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2020-12-08 17:58): Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Ein Angreifer mit erweiterten Privilegien kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen. Die Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen kann Einfluss auf andere Komponenten haben. Ein Angreifer kann mehrere weitere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

GitLab informiert über die Schwachstellen und stellt die Versionen 13.6.2, 13.5.5 und 13.4.7 für die Community Edition (CE) und die Enterprise Edition (EE) als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-13357

Schwachstelle in GitLab ermöglicht Umgehen von Sicherheitsvorkehrungen