The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - An issue has been discovered in GitLab affecting all versions starting from 13.7 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. A specially     crafted Kroki diagram could lead to a stored XSS on the client side which allows attackers to perform     arbitrary actions on behalf of victims. (CVE-2023-0050)

  - An issue has been discovered in GitLab affecting all versions starting from 15.3 before 15.7.8, versions     of 15.8 before 15.8.4, and version 15.9 before 15.9.2. Google IAP details in Prometheus integration were     not hidden, could be leaked from instance, group, or project settings to other users. (CVE-2022-4289)

  - An issue has been discovered in GitLab EE affecting all versions starting from 15.1 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. If a group with     SAML SSO enabled is transferred to a new namespace as a child group, it's possible previously removed     malicious maintainer or owner of the child group can still gain access to the group via SSO or a SCIM     token to perform actions on the group. (CVE-2022-4331)

  - An issue has been discovered in GitLab affecting all versions starting from 12.1 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. It was possible     for a project maintainer to extract a Datadog integration API key by modifying the site. (CVE-2023-0483)

  - A issue has been discovered in GitLab CE/EE affecting all versions from 15.3 prior to 15.7.8, version 15.8     prior to 15.8.4, and version 15.9 prior to 15.9.2 A cross-site scripting vulnerability was found in the     title field of work items that allowed attackers to perform arbitrary actions on behalf of victims at     client side. (CVE-2022-4007)

  - An issue has been discovered in GitLab affecting all versions starting from 15.5 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. Due to improper     permissions checks an unauthorised user was able to read, add or edit a users private snippet.
    (CVE-2022-3758)

  - An issue has been discovered in GitLab affecting all versions starting from 15.5 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. Non-project     members could retrieve release descriptions via the API, even if the release visibility is restricted to     project members only in the project settings. (CVE-2023-0223)

  - An issue has been discovered in GitLab affecting all versions starting from 12.8 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. This     vulnerability could allow a user to unmask the Discord Webhook URL through viewing the raw API response.
    (CVE-2022-4462)

  - An issue has been discovered in GitLab affecting all versions starting from 9.0 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. It was possible     to trigger a resource depletion attack due to improper filtering for number of requests to read commits     details. (CVE-2023-1072)

  - An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to     15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites     (CVE-2022-3381)

  - An issue has been discovered in GitLab CE/EE affecting all versions before 15.7.8, all versions starting     from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. A malicious project Maintainer may     create a Project Access Token with Owner level privileges using a crafted request. (CVE-2023-1084)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - GitLab で、15.7.8 より前の 13.7 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。特別に細工された Kroki ダイアグラムにより、クライアント側に保存された XSS が発生し、攻撃者が被害者に代わって任意のアクションを実行する可能性があります。(CVE-2023-0050)

  - GitLab CE/EE で、15.3 から 15.7.8 より前のすべてのバージョン、15.8.4 より前の 15.8 のバージョン、および 15.9.2 より前のバージョン 15.9 に影響する問題が発見されました。Prometheus 統合の Google IAP の詳細が非表示にならず、インスタンス、グループ、またはプロジェクトの設定から他のユーザーに漏洩される可能性があります。(CVE-2022-4289)

  - GitLab EE で、15.1 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。SAML SSO が有効になっているグループが子グループとして新しい名前空間に転送される場合、以前に削除された悪意のある子グループメンテナー/所有者が、SSO または SCIM トークンを介して引き続きグループにアクセスし、グループに対してアクションを実行する可能性があります。(CVE-2022-4331)

  - GitLab で、15.7.8 より前の 12.1 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。プロジェクトのメンテナーが、サイトを変更することで Datadog 統合 API キーを抽出できていました。(CVE-2023-0483)

  - GitLab CE/EE で、15.3 から 15.7.8 より前のすべてのバージョン、15.8.4 より前のバージョン 15.8、15.9.2 より前のバージョン 15.9 に影響を与える問題が発見されました。作業項目のタイトルフィールドでクロスサイトスクリプティングの脆弱性が見つかり、攻撃者がクライアント側で被害者に代わって任意のアクションを実行できていました。(CVE-2022-4007)

  - GitLab で、15.7.8 より前の 15.5 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。不適切な権限チェックが原因で、権限のないユーザーがユーザーのプライベートスニペットを読み取り、追加、編集できていました。
    (CVE-2022-3758)

  - GitLab で、15.7.8 より前の 15.5 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。プロジェクト設定でリリース可視性がプロジェクトメンバーのみに制限されている場合でも、非プロジェクトメンバーが API を介してリリースの説明を取得する可能性があります。(CVE-2023-0223)

  - GitLab で、15.7.8 より前の 12.8 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。この脆弱性により、ユーザーが未加工 API 応答を閲覧することで、Discord Webhook URL のマスクが解除される可能性があります。
    (CVE-2022-4462)

  - GitLab で、15.7.8 より前の 9.0 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。コミット詳細を読み取るためのリクエスト数のフィルタリングが不適切であることが原因で、リソース枯渇攻撃が発生する可能性がありました。(CVE-2023-1072)

  - GitLab で問題が検出されました。これは 10.0 から 15.7.8、15.8.4 より前の 15.8、および 15.9.2 より前の 15.9 のすべてのバージョンに影響を与えます。細工された URL が、ユーザーを任意のサイトにリダイレクトするために使用される可能性があります。(CVE-2022-3381)

  - GitLab CE/EE で、15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。悪意のあるプロジェクトメンテナーが、細工されたリクエストを使用して、オーナーレベルの権限でプロジェクトアクセストークンを作成する可能性があります。(CVE-2023-1084)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 13.7、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。特製的 Kroki 圖表可在用戶端導致儲存型 XSS，進而允許攻擊者代表受害者執行任意動作。(CVE-2023-0050)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 15.3、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。Prometheus 整合中的 Google IAP 詳細資料未隱藏，該資料可透過執行個體、群組或專案設定洩漏給其他使用者。(CVE-2022-4289)

  - 在 GitLab EE 中發現一個問題，此問題會影響 15.7.8 之前的 15.1、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。如果啟用了 SAML SSO 的群組作為子群組傳輸到新的命名空間，之前移除的惡意維護者或子群組的擁有者可能仍可透過 SSO 或 SCIM 權杖，取得對該群組的存取權，以便在該群組上執行動作。(CVE-2022-4331)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 12.1、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。專案維護者可透過修改網站來擷取 Datadog 整合 API 金鑰。(CVE-2023-0483)

  - 在 GitLab CE/EE 中發現一個問題，此問題會影響 15.3 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本。在標題欄位中發現一個跨網站指令碼弱點，攻擊者可藉此在用戶端代表受害者執行任意動作的工作項目。(CVE-2022-4007)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 15.5、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。由於不當權限檢查，未經授權的使用者可以讀取、新增或編輯使用者的私人片段。
    (CVE-2022-3758)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 15.5、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。非專案成員可透過 API 擷取版本描述，即使版本可見度僅限於專案設定中的專案成員。(CVE-2023-0223)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 12.8、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。使用者可利用此弱點透過檢視原始 API 回應來取消遮罩 Discord Webhook URL。
    (CVE-2022-4462)

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 9.0、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。由於不當篩選讀取提交詳細資料的要求數量，該問題可能觸發資源耗盡攻擊。(CVE-2023-1072)

  - 在 GitLab 中發現一個問題，此問題會影響 10.0 至 15.7.8、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 的所有版本。特製的 URL 可用於將使用者重新導向至任意網站 (CVE-2022-3381)

  - 在 GitLab CE/EE 中發現一個問題，此問題會影響 15.7.8 之前的所有版本、15.8 至 15.8.4、15.9 至 15.9.2 的所有版本。惡意的專案維護者可能會使用特製的要求，以擁有者層級權限建立專案存取權杖。(CVE-2023-1084)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 GitLab 中发现一个问题，13.7 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。特别构建的 Kroki 图表可在客户端导致存储的 XSS，从而允许攻击者代表受害者执行任意操作。(CVE-2023-0050)

  - 在 GitLab 中发现一个问题，15.3 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。系统可能会从实例、群组或项目设置中将 Prometheus 集成中的 Google IAP 详细信息泄露给其他用户。(CVE-2022-4289)

  - 在 GitLab EE 中发现一个问题，15.1 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。如果启用了 SAML SSO 的群组以子群组的形式被转移到新的命名空间，之前删除的恶意维护者或子群组的所有者可能仍可通过 SSO 或 SCIM 标记获得对该群组的访问权限，从而在该群组上执行操作。(CVE-2022-4331)

  - 在 GitLab 中发现一个问题，12.1 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。项目维护人员可通过修改站点来提取 Datadog 集成 API 密钥。(CVE-2023-0483)

  - 在 GitLab CE/EE 中发现一个问题，15.3 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。在工作项目的标题字段发现一个允许攻击者在客户端代表受害者执行任意操作的跨站脚本问题。(CVE-2022-4007)

  - 在 GitLab 中发现一个问题，15.5 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。由于不当权限检查，未经授权的用户能够读取、添加或编辑用户私有代码段。
    (CVE-2022-3758)

  - 在 GitLab 中发现一个问题，15.5 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。非项目成员可通过 API 检索版本描述，即使版本可见性仅限于项目设置中的项目成员也是如此。(CVE-2023-0223)

  - 在 GitLab 中发现一个问题，12.8 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。此漏洞可让用户通过查看原始 API 响应来显示 Discord Webhook URL。
    (CVE-2022-4462)

  - 在 GitLab 中发现一个问题，9.0 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。由于未正确筛选读取提交详细信息的请求的数量，可能会触发资源耗尽攻击。(CVE-2023-1072)

  - 在 GitLab 中发现一个问题，10.0 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。可使用特制的 URL 将用户重定向到任意站点 (CVE-2022-3381)

  - 在 GitLab CE/EE 中发现一个问题，低于 15.7.8 的所有版本、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。恶意的项目维护者可能会使用构建的请求，以所有者级别的权限创建项目访问令牌。(CVE-2023-1084)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 GitLab 中发现一个问题，12.1 至 15.7.8、15.8 至 15.8.4 以及 15.9 至 15.9.2 的所有版本均受此影响。项目维护人员可通过修改站点来提取 Datadog 集成 API 密钥。(CVE-2023-0483)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 在 GitLab 中發現一個問題，此問題會影響 15.7.8 之前的 12.1、15.8.4 之前的 15.8 和 15.9.2 之前的 15.9 中的所有版本。專案維護者可透過修改網站來擷取 Datadog 整合 API 金鑰。(CVE-2023-0483)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - An issue has been discovered in GitLab affecting all versions starting from 12.1 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. It was possible     for a project maintainer to extract a Datadog integration API key by modifying the site. (CVE-2023-0483)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by multiple vulnerabilities as referenced in the f7c5b3a9-b9fb-11ed-99c6-001b217b3468 advisory.

  - An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to     15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites. This is     a medium severity issue (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N, 4.3). It is now mitigated in the     latest release and is assigned CVE-2022-3381. (CVE-2022-3381)

  - An issue has been discovered in GitLab affecting all versions starting from 15.5 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. Due to improper     permissions checks an unauthorised user was able to read, add or edit a users private snippet. This is a     medium severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N, 5.4). It is now mitigated in the     latest release and is assigned CVE-2022-3758. (CVE-2022-3758)

  - A issue has been discovered in GitLab CE/EE affecting all versions from 15.3 prior to 15.7.8, version 15.8     prior to 15.8.4, and version 15.9 prior to 15.9.2  A cross-site scripting vulnerability was found in the     title field of work items that allowed attackers to perform arbitrary actions on behalf of victims at     client side. This is a medium severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4). It is     now mitigated in the latest release and is assigned CVE-2022-4007. (CVE-2022-4007)

  - An issue has been discovered in GitLab affecting all versions starting from 15.3 before 15.7.8, versions     of 15.8 before 15.8.4, and version 15.9 before 15.9.2. Google IAP details in Prometheus integration were     not hidden, could be leaked from instance, group, or project settings to other users. This is a medium     severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N, 6.4). It is now mitigated in the latest     release and is assigned CVE-2022-4289. (CVE-2022-4289)

  - An issue has been discovered in GitLab EE affecting all versions starting from 15.1 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. If a group with     SAML SSO enabled is transferred to a new namespace as a child group, it's possible previously removed     malicious maintainer or owner of the child group can still gain access to the group via SSO or a SCIM     token to perform actions on the group. This is a medium severity issue     (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N, 5.7). It is now mitigated in the latest release and is     assigned CVE-2022-4331. (CVE-2022-4331)

  - An issue has been discovered in GitLab affecting all versions starting from 12.8 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. This     vulnerability could allow a user to unmask the Discord Webhook URL through viewing the raw API response.
    This is a medium severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N, 5.0). It is now mitigated     in the latest release and is assigned CVE-2022-4462. (CVE-2022-4462)

  - An issue has been discovered in GitLab affecting all versions starting from 13.7 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. A specially     crafted Kroki diagram could lead to a stored XSS on the client side which allows attackers to perform     arbitrary actions on behalf of victims. This is a high severity issue     (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). It is now mitigated in the latest release and is     assigned CVE-2023-0050. (CVE-2023-0050)

  - An issue has been discovered in GitLab affecting all versions starting from 15.5 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. Non-project     members could retrieve release descriptions via the API, even if the release visibility is restricted to     project members only in the project settings. This is a medium severity issue     (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3). It is now mitigated in the latest release and is     assigned CVE-2023-0223. (CVE-2023-0223)

  - An issue has been discovered in GitLab affecting all versions starting from 12.1 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. It was possible     for a project maintainer to extract a Datadog integration API key by modifying the site. This is a medium     severity issue (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N, 5.5). It is now mitigated in the latest     release and is assigned CVE-2023-0483. (CVE-2023-0483)

  - An issue has been discovered in GitLab affecting all versions starting from 9.0 before 15.7.8, all     versions starting from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. It was possible     to trigger a resource depletion attack due to improper filtering for number of requests to read commits     details. This is a medium severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3). It is now     mitigated in the latest release and is assigned CVE-2023-1072. (CVE-2023-1072)

  - An issue has been discovered in GitLab CE/EE affecting all versions before 15.7.8, all versions starting     from 15.8 before 15.8.4, all versions starting from 15.9 before 15.9.2. A malicious project Maintainer may     create a Project Access Token with Owner level privileges using a crafted request. This is a low severity     issue (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N, 2.7). It is now mitigated in the latest release and     is assigned CVE-2023-1084. (CVE-2023-1084)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - GitLab で、15.7.8 より前の 12.1 以降のすべてのバージョン、15.8.4 より前の 15.8 以降のすべてのバージョン、15.9.2 より前の 15.9 以降のすべてのバージョンに影響する問題が発見されました。プロジェクトのメンテナーが、サイトを変更することで Datadog 統合 API キーを抽出できていました。(CVE-2023-0483)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、f7c5b3a9-b9fb-11ed-99c6-001b217b3468 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - GitLab で問題が検出されました。これは 10.0 から 15.7.8、15.8.4 より前の 15.8、および 15.9.2 より前の 15.9 のすべてのバージョンに影響を与えます。細工された URL を使用して、ユーザーを任意のサイトにリダイレクトする可能性があります。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A: N、4.3)。現在は最新のリリースで緩和され、CVE-2022-3381 が割り当てられています。(CVE-2022-3381)

  - GitLab で、15.5 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。不適切な権限チェックが原因で、権限のないユーザーがユーザーのプライベートスニペットを読み取り、追加、編集できていました。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A: N、5.4)。現在は最新のリリースで緩和され、CVE-2022-3758 が割り当てられています。(CVE-2022-3758)

  - GitLab CE/EE で、15.3 から 15.7.8 より前のすべてのバージョン、15.8.4 より前のバージョン 15.8、15.9.2 より前のバージョン 15.9 に影響を与える問題が発見されました。作業項目のタイトルフィールドでクロスサイトスクリプティングの脆弱性が見つかり、攻撃者がクライアント側で被害者に代わって任意のアクションを実行できていました。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A: N、5.4)。現在は最新のリリースで緩和され、CVE-2022-4007 が割り当てられています。(CVE-2022-4007)

  - GitLab で、15.3 から 15.7.8 より前のすべてのバージョン、15.8.4 より前の 15.8 のバージョン、および 15.9.2 より前のバージョン 15.9 に影響する問題が発見されました。Prometheus 統合の Google IAP の詳細が非表示にならず、インスタンス、グループ、またはプロジェクトの設定から他のユーザーに漏洩される可能性があります。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A: N、6.4)。現在は最新のリリースで緩和され、CVE-2022-4289 が割り当てられています。(CVE-2022-4289)

  - GitLab EE で、15.1 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。SAML SSO が有効になっているグループが子グループとして新しい名前空間に転送される場合、以前に削除された悪意のある子グループメンテナー/所有者が、SSO または SCIM トークンを介して引き続きグループにアクセスし、グループに対してアクションを実行する可能性があります。これは重要度中の問題です (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A: N、5.7)。現在は最新のリリースで緩和され、CVE-2022-4331 が割り当てられています。(CVE-2022-4331)

  - GitLab で、12.8 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。この脆弱性により、ユーザーが未加工 API 応答を閲覧することで、Discord Webhook URL のマスクが解除される可能性があります。
    これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A: N、5.0)。現在は最新のリリースで緩和され、CVE-2022-4462 が割り当てられています。(CVE-2022-4462)

  - GitLab で、13.7 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。特別に細工された Kroki ダイアグラムにより、クライアント側に保存された XSS が発生し、攻撃者が被害者に代わって任意のアクションを実行する可能性があります。これは重要度高の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A: N、8.7)。現在は最新のリリースで緩和され、CVE-2023-0050 が割り当てられています。(CVE-2023-0050)

  - GitLab で、15.5 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。プロジェクト設定でリリース可視性がプロジェクトメンバーのみに制限されている場合でも、非プロジェクトメンバーが API を介してリリースの説明を取得する可能性があります。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A: N、5.3)。現在は最新のリリースで緩和され、CVE-2023-0223 が割り当てられています。(CVE-2023-0223)

  - GitLab で、12.1 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。プロジェクトのメンテナーが、サイトを変更することで Datadog 統合 API キーを抽出できていました。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A: N、5.5)。現在は最新のリリースで緩和され、CVE-2023-0483 が割り当てられています。(CVE-2023-0483)

  - GitLab で、9.0 から 15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。コミット詳細を読み取るためのリクエスト数のフィルタリングが不適切であることが原因で、リソース枯渇攻撃が発生する可能性がありました。これは重要度中の問題です (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A: L、4.3)。現在は最新のリリースで緩和され、CVE-2023-1072 が割り当てられています。(CVE-2023-1072)

  - GitLab CE/EE で、15.7.8 より前のすべてのバージョン、15.8 から 15.8.4 より前のすべてのバージョン、15.9 から 15.9.2 より前のすべてのバージョンに影響する問題が発見されました。悪意のあるプロジェクトメンテナーが、細工されたリクエストを使用して、オーナーレベルの権限でプロジェクトアクセストークンを作成する可能性があります。これは重要度低の問題です (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A: N、2.7)。現在は最新のリリースで緩和され、CVE-2023-1084 が割り当てられています。(CVE-2023-1084)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名稱	產品	系列	已發布	已更新	嚴重性
187524	GitLab < 15.7.8 (SECURITY-RELEASE-GITLAB-15-9-2-RELEASED)	Nessus	CGI abuses	2024/1/3	2024/1/3	high
187524	GitLab < 15.7.8 (SECURITY-RELEASE-GITLAB-15-9-2-RELEASED)	Nessus	CGI abuses	2024/1/3	2024/1/3	high
187524	GitLab < 15.7.8 (SECURITY-RELEASE-GITLAB-15-9-2-RELEASED)	Nessus	CGI abuses	2024/1/3	2024/1/3	high
187524	GitLab < 15.7.8 (SECURITY-RELEASE-GITLAB-15-9-2-RELEASED)	Nessus	CGI abuses	2024/1/3	2024/1/3	high
172075	GitLab 12.1 < 15.7.8 / 15.8 < 15.8.4 / 15.9 < 15.9.2 (CVE-2023-0483)	Nessus	CGI abuses	2023/3/3	2024/5/17	low
172075	GitLab 12.1 < 15.7.8 / 15.8 < 15.8.4 / 15.9 < 15.9.2 (CVE-2023-0483)	Nessus	CGI abuses	2023/3/3	2024/5/17	low
172075	GitLab 12.1 < 15.7.8 / 15.8 < 15.8.4 / 15.9 < 15.9.2 (CVE-2023-0483)	Nessus	CGI abuses	2023/3/3	2024/5/17	low
172086	FreeBSD : Gitlab -- Multiple Vulnerabilities (f7c5b3a9-b9fb-11ed-99c6-001b217b3468)	Nessus	FreeBSD Local Security Checks	2023/3/3	2023/4/6	high
172075	GitLab 12.1 < 15.7.8 / 15.8 < 15.8.4 / 15.9 < 15.9.2 (CVE-2023-0483)	Nessus	CGI abuses	2023/3/3	2024/5/17	low
172086	FreeBSD: Gitlab -- 複数の脆弱性 (f7c5b3a9-b9fb-11ed-99c6-001b217b3468)	Nessus	FreeBSD Local Security Checks	2023/3/3	2023/4/6	high

偵測

搜尋 Plugin

high

high

high

high

low

low

low

high

low

high