fbpx

CVE-2022-0136

Gitlab におけるサーバサイドリクエストフォージェリの脆弱性


報告者

西谷 完太

概要

A vulnerability was discovered in GitLab starting with version 10.5. GitLab was vulnerable to a blind SSRF attack through the Project Import feature. . This is a medium severity issue (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L, 5.4). It is now mitigated in the latest release and is assigned CVE-2022-0136.

影響を受けるシステムおよびバージョン

  • Gitlab 14.7 から 14.7.1 より前のバージョン
  • Gitlab 14.6 から 14.6.4 より前のバージョン
  • Gitlab 10.5 から 14.5.4 より前のバージョン

CVSS

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値: 5.4
CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:N 基本値: 5.5

参考URL

https://jvn.jp/jp/JVN64806328/

https://about.gitlab.com/releases/2022/02/03/security-release-gitlab-14-7-1-released/#blind-ssrf-through-project-import

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか