← volver
CVE-2021-39935

CVE-2021-39935

CVSS 6.8 MEDIUMEPSS 30.5%● KEVCWE-918
En resumen

La API CI Lint de GitLab permite que usuarios externos no autorizados realicen solicitudes a servidores internos. Un atacante podría acceder a recursos privados o servicios internos que deberían estar protegidos.

Detalle técnico

Vulnerabilidad de Server-Side Request Forgery (SSRF) en la API CI Lint de GitLab (CWE-918) afectando versiones 10.5–14.3.5, 14.4–14.4.3 y 14.5–14.5.1. Usuarios sin autenticación pueden enviar configuraciones de CI maliciosas para desencadenar solicitudes HTTP no autorizadas desde el servidor GitLab a objetivos internos o externos, exponiendo potencialmente datos sensibles o comprometiendo servicios internos.

Resumen generado y traducido por IA a partir de la descripción oficial.
An issue has been discovered in GitLab CE/EE affecting all versions starting from 10.5 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Unauthorized external users could perform Server Side Requests via the CI Lint API
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
Productos afectados
GitLab · GitLab

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39935.jsonhttps://gitlab.com/gitlab-org/gitlab/-/issues/346187https://hackerone.com/reports/1236965https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-39935