← voltar
CVE-2022-2592

CVE-2022-2592

CVSS 6.5 MEDIUMEPSS 1.0%CWE-1284
Em resumo

O GitLab não limita adequadamente o tamanho das descrições de trechos de código, permitindo que usuários autenticados criem trechos gigantescos que sobrecarregam o servidor e o deixam indisponível.

Detalhe técnico

A falta de validação de comprimento na entrada de campos de descrição de Snippets no GitLab CE/EE permite que atacantes autenticados enviem payloads excessivamente grandes, consumindo recursos excessivos do servidor quando o snippet é acessado, resultando em Negação de Serviço. A vulnerabilidade afeta versões anteriores a 15.1.6, 15.2.4 e 15.3.2.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A lack of length validation in Snippet descriptions in GitLab CE/EE affecting all versions prior to 15.1.6, 15.2 prior to 15.2.4 and 15.3 prior to 15.3.2 allows an authenticated attacker to create a maliciously large Snippet which when requested with or without authentication places excessive load on the server, potential leading to Denial of Service.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
GitLab · GitLab

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2592.jsonhttps://gitlab.com/gitlab-org/gitlab/-/issues/362566https://hackerone.com/reports/1544507