CVE-2022-0136

Gitlab におけるサーバサイドリクエストフォージェリの脆弱性


報告者

西谷 完太

概要

A vulnerability was discovered in GitLab starting with version 10.5. GitLab was vulnerable to a blind SSRF attack through the Project Import feature. . This is a medium severity issue (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L, 5.4). It is now mitigated in the latest release and is assigned CVE-2022-0136.

影響を受けるシステムおよびバージョン

  • Gitlab 14.7 から 14.7.1 より前のバージョン
  • Gitlab 14.6 から 14.6.4 より前のバージョン
  • Gitlab 10.5 から 14.5.4 より前のバージョン

CVSS

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値: 5.4
CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:N 基本値: 5.5

参考URL

https://jvn.jp/jp/JVN64806328/

https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード