CVE-2025-1908

ANC

Высокий

В GitLab EE/CE обнаружена проблема, которая может позволить злоумышленнику отслеживать активность пользователей в браузере, потенциально пр…

CVSS

7.7

Высокий

EPSS

0.00

p25

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

В GitLab EE/CE обнаружена проблема, которая может позволить злоумышленнику отслеживать активность пользователей в браузере, потенциально приводя к полному захвату аккаунта. Проблема затрагивает все версии с 16.6 до 17.9.7, 17.10 до 17.10.5 и 17.11 до 17.11.1. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/523065 - [2] https://hackerone.com/reports/3016623

Теги · CWE

CWE-840

Затронутые продукты

Gitlab 16.6.0–17.9.7Gitlab 17.10.0–17.10.5Gitlab

Вектор CVSS

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: H

Высокая (H)

Требуемые привилегии

PR: L

Низкие (L)

Взаимодействие с пользователем

UI: R

Требуется (R)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.003 · p25

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Debian

Gitlab

Gitlab Gitlab Enterprise

Продукт	Вендор	Статус
		Отслеживается
		Отслеживается
gitlab		Отслеживается
gitlab	*	Отслеживается

Источники данных

ANC

DEB

CVE

Связанные уязвимости

BDU:2025-05161