Уязвимость BDU:2022-03328

Идентификатор: BDU:2022-03328.
Наименование уязвимости: Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab, связанная с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты, позволяющая нарушителю выполнить захват учетных записей пользователей путем изменения адреса их электронной почты.
Описание уязвимости: Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab связана с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить захват учетных записей пользователей путем изменения адреса их электронной почты
Уязвимое ПО: Сетевое программное средство GitLab Inc. Gitlab от 11.10 до 14.9.5 | Сетевое программное средство GitLab Inc. Gitlab от 14.10 до 14.10.4 | Сетевое программное средство GitLab Inc. Gitlab от 15.0 до 15.0.1 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 03.06.2022.
CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)
Возможные меры по устранению:
Компенсирующие меры:
— использование многофакторной аутентификации;
— отключение SAML SSO аутентификации..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2022-1680.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.tenable.com/cve/CVE-2022-1680
https://nvd.nist.gov/vuln/detail/CVE-2022-1680
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1680.json
https://gitlab.com/gitlab-org/gitlab/-/issues/363058



