CVE-2021-39911
NiskieCVSS 1.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
Wszystkie wersje GitLab CE/EE od 13.9 do 14.2.6, od 14.3 do 14.3.4 oraz od 14.4 do 14.4.1 mają lukę w kontroli dostępu, która ujawnia prywatne adresy e-mail przypisanych do zgłoszeń i żądań scalania konsumentom danych Webhook.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie prywatnych informacji użytkowników, co może prowadzić do naruszenia prywatności i zaufania.
Rekomendacja
Zaleca się aktualizację GitLab do najnowszej wersji, aby usunąć tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
An improper access control flaw in all versions of GitLab CE/EE starting from 13.9 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 exposes private email address of Issue and Merge Requests assignee to Webhook data consumers

