遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  在 GitLab CE/EE 中發現一個問題，此問題會影響 12.6 至 15.2.5、15.3 至 15.3.4 和 15.4 至 15.4.1 的所有版本。惡意維護者可藉由修改整合 URL 洩漏 GitHub 整合程式的存取權杖，以便將經驗證的要求傳送至攻擊者控制的伺服器。(CVE-2022-2882)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 GitLab CE/EE 中发现一个问题，12.6 至 15.2.5、15.3 至 15.3.4 以及 15.4 至 15.4.1 的所有版本均受此影响。恶意维护者可通过修改集成 URL 泄露 GitHub 集成的访问标记，以便将经认证的请求发送到攻击者控制的服务器。(CVE-2022-2882)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by multiple vulnerabilities as referenced in the 04422df1-40d8-11ed-9be7-454b1dd82c64 advisory.

  - Gitlab reports: Denial of Service via cloning an issue Arbitrary PUT request as victim user through Sentry     error list Content injection via External Status Checks Project maintainers can access Datadog API Key     from logs Unsafe serialization of Json data could lead to sensitive data leakage Import bug allows     importing of private local git repos Maintainer can leak Github access tokens by changing integration URL     (even after 15.2.1 patch) Unauthorized users able to create issues in any project Bypass group IP     restriction on Dependency Proxy Healthcheck endpoint allow list can be bypassed when accessed over HTTP in     an HTTPS enabled system Disclosure of Todo details to guest users A user's primary email may be disclosed     through group member events webhooks Content manipulation due to branch/tag name confusion with the     default branch name Leakage of email addresses in WebHook logs Specially crafted output makes job logs     inaccessible Enforce editing approval rules on project level (CVE-2022-2882, CVE-2022-2904, CVE-2022-3018,     CVE-2022-3060, CVE-2022-3066, CVE-2022-3067, CVE-2022-3279, CVE-2022-3283, CVE-2022-3285, CVE-2022-3286,     CVE-2022-3288, CVE-2022-3291, CVE-2022-3293, CVE-2022-3325, CVE-2022-3330, CVE-2022-3351)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.6 before 15.2.5, all     versions starting from 15.3 before 15.3.4, all versions starting from 15.4 before 15.4.1. A malicious     maintainer could exfiltrate a GitHub integration's access token by modifying the integration URL such that     authenticated requests are sent to an attacker controlled server. (CVE-2022-2882)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、04422df1-40d8-11ed-9be7-454b1dd82c64 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Gitlab レポート: 問題の複製によるサービス拒否。Sentry エラー リストを介した被害者ユーザーとしての任意の PUT リクエスト。外部ステータスチェックによるコンテンツインジェクション。プロジェクトのメンテナーは、ログから Datadog API キーにアクセスできます。安全でない Json データのシリアル化により、機密データの漏洩が発生する可能性があります。インポートのバグにより、プライベート ローカル git リポジトリをインポートできます。メンテナーは統合 URL を変更することで Github アクセス トークンを漏洩することが可能です (15.2.1 のパッチ後でも)。認証されていないユーザーがどのプロジェクトでもイシューを作成できる。Dependency Proxy でグループ IP 制限をバイパスする。HTTPS が有効なシステムで HTTP 経由でアクセスすると、Healthcheck エンドポイント許可リストをバイパスできます。ゲストユーザーへの Todo 詳細の開示。ユーザーのプライマリメールは、グループメンバーイベントの Webhook を通じて開示される可能性があります。ブランチ/タグ名とデフォルトのブランチ名の混同によるコンテンツ操作。WebHook ログでの電子メール アドレスの漏洩。特別に細工された出力により、ジョブログにアクセスできなくなります。プロジェクトレベルでの編集承認ルールの適用 (CVE-2022-2882、CVE-2022-2904、CVE-2022-3018、CVE-2022-3060、CVE-2022-3066、CVE-2022-3067、CVE-2022-3279、CVE-2022-3283、CVE-2022-3285、CVE-2022-3286、CVE-2022-3288、CVE-2022-3291、CVE-2022-3293、CVE-2022-3325、CVE-2022-3330、CVE-2022-3351)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - GitLab CE/EE で、12.6 から 15.2.5 より前のすべてのバージョン、15.3 から 15.3.4より前のすべてのバージョン、15.4 から 15.4.1 より前のすべてのバージョンに影響する問題が発見されました。統合 URL を変更し、認証されたリクエストが攻撃者の制御するサーバーに送信されるようにすることで、悪意のあるメンテナーが GitHub 統合のアクセストークンを漏洩する可能性があります。(CVE-2022-2882)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
165768	GitLab 12.6 < 15.2.5 / 15.3 < 15.3.4 / 15.4 < 15.4.1 (CVE-2022-2882)	Nessus	CGI abuses	2022/10/7	2024/5/17	medium
165768	GitLab 12.6 < 15.2.5 / 15.3 < 15.3.4 / 15.4 < 15.4.1 (CVE-2022-2882)	Nessus	CGI abuses	2022/10/7	2024/5/17	medium
165595	FreeBSD : Gitlab -- Multiple vulnerabilities (04422df1-40d8-11ed-9be7-454b1dd82c64)	Nessus	FreeBSD Local Security Checks	2022/9/30	2023/10/10	high
165768	GitLab 12.6 < 15.2.5 / 15.3 < 15.3.4 / 15.4 < 15.4.1 (CVE-2022-2882)	Nessus	CGI abuses	2022/10/7	2024/5/17	medium
165595	FreeBSD: Gitlab -- 複数の脆弱性 (04422df1-40d8-11ed-9be7-454b1dd82c64)	Nessus	FreeBSD Local Security Checks	2022/9/30	2023/10/10	high
165768	GitLab 12.6 < 15.2.5 / 15.3 < 15.3.4 / 15.4 < 15.4.1 (CVE-2022-2882)	Nessus	CGI abuses	2022/10/7	2024/5/17	medium

检测

插件搜索

medium

medium

high

medium

high

medium