GitLab исправил проблему в GitLab CE/EE, затрагивающую все версии с 14,3 до 18.8.7, 18.9 до 18.9.3 и 18.10 до 18.10.1, затрагивающую устано…
GitLab исправил проблему в GitLab CE/EE, затрагивающую все версии с 14,3 до 18.8.7, 18.9 до 18.9.3 и 18.10 до 18.10.1, затрагивающую установки Jira Connect, которые могли бы позволить аутентифицированному пользователю с минимальными разрешениями на рабочую область получить учетные данные для установки и выдавать себя за приложение GitLab из-за ненадлежащих проверок авторизации.
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
https://cwe.mitre.org/data/definitions/233.html →Открыть в коллекции CWE →В обстоятельствах, когда приложение хранит важные данные на стороне клиента в токенах (cookie-файлах, URL, файлах данных и т. п.), этими данными можно манипулировать. Если клиентские или серверные компоненты приложения повторно интерпретируют эти данные как токены аутентификации или данные (например, цены на товары в магазине или информацию о кошельке), то даже непрозрачная манипуляция этими данными может принести результат злоумышленнику. В данном шаблоне злоумышленник подрывает допущение о том, что клиентские токены были надлежащим образом защищены от подделки с помощью шифрования или запутывания.
https://capec.mitre.org/data/definitions/39.html →Открыть в коллекции CAPEC →