CVE-2023-3363
NiskieCVSS 3.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Gitlab CE/EE wystąpił problem z ujawnieniem informacji, który dotyczy wszystkich wersji od 13.6 do przed 15.11.10, od 16.0 do przed 16.0.6 oraz od 16.1 do przed 16.1.1. Problem polega na tym, że logi Sidekiq zawierały tokeny webhooków, gdy format logu był ustawiony na 'default'.
Ocena ryzyka
Ujawnienie tokenów webhooków może prowadzić do nieautoryzowanego dostępu do zasobów i danych w systemie, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Gitlab do najnowszej wersji, aby usunąć tę podatność oraz rozważenie zmiany formatu logów, aby nie ujawniały wrażliwych informacji.
Oryginalny opis (angielski, źródło NVD)
An information disclosure issue in Gitlab CE/EE affecting all versions from 13.6 prior to 15.11.10, all versions from 16.0 prior to 16.0.6, all versions from 16.1 prior to 16.1.1, resulted in the Sidekiq log including webhook tokens when the log format was set to `default`.

