Gitpod
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.6
Макс. EPSS
0.01177
Распределение по критичности
Критический
1
Высокий
0
Средний
3
Низкий
0
Затронутые диапазоны версий
< 0.6.0< 2022.11.2< 2022.11.3< main-gha.33628
Также сопоставлено как (исходные строки): gitpod
Топ уязвимостей
CVE-2023-0957Проблема была обнаружена в Gitpod версий до release-2022.11.2.16. Существует уязвимость Cross-Site WebSocket Hijacking (CSWSH), которая позволяет злоумышленникам устанавливать WebSocket-соединения с сервером Gitpod JSONRPC, используя учетные данные жертвы, поскольку заголовок Origin не ограничен. Это может привести к извлечению данных из рабочих пространств, к полному захвату рабочего пространства.
CVE-2025-55750Gitpod является платформой для разработчиков облачных сред разработки. В версиях до main-gha.33628 как для Gitpod Classic, так и для Gitpod Classic Enterprise интеграция OAuth с Bitbucket в определенных условиях позволила создать прочную ссылку для разоблачительного токена доступа Bitbucket через фрагмент URL при нажатии аутентифицированного пользователя. Это произошло в результате того, как Bitbucket вернул токены и как Gitpod справился с потоком перенаправления. Проблема была ограничена Bitbucket (интеграции GitHub и GitLab не были затронуты), требовали взаимодействия с пользователем и были смягчены с помощью обработки перенаправления и логики OAut. Вопрос был решен в main-gha.33628 и позже. Никаких обходных путей не существует.
CVE-2023-32766Gitpod версий до 2022.11.3 допускает XSS, поскольку перенаправление может происходить для некоторых протоколов за пределами доверенного набора из трех (vscode: vscode-insiders: jetbrains-gateway:).
CVE-2021-35206Gitpod до версии 0.6.0 допускает непроверенные перенаправления.