GitLab 10.5.x < 13.10.5 / 13.11.x < 13.11.5 / 13.12.x < 13.12.2 伺服器端要求偽造

語系：

GitLab CE/EE 10.5 至 13.10.5、13.11 至 13.11.5 和 13.12 至 13.12.2 版在啟用針對 webhooks 的內部網路要求時，會受到伺服器端要求偽造弱點影響。未經驗證的攻擊者可利用此問題，使目標伺服器對任意主機執行盲目網路要求。

升級至 GitLab 13.10.5/13.11.5/13.12.2 或更新版本。

嚴重性: High

ID: 113091

類型: remote

系列: Component Vulnerability

已發布: 2022/4/21

已更新: 2022/4/21

掃描範本: basic, full, pci, scan

風險因素: Medium

分數: 5.2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2021-22214

風險因素: High

基本分數: 8.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

CVSS 評分資料來源: CVE-2021-22214

CPE: cpe:2.3:a:gitlab:gitlab:*:*:*:*:*:*:*:*

可被惡意程式利用: true

可輕鬆利用: Exploits are available

CVE: CVE-2021-22214

CWE: 918

OWASP: 2010-A6, 2013-A5, 2013-A9, 2017-A6, 2017-A9, 2021-A10, 2021-A6

WASC: Application Misconfiguration

DISA STIG: APSC-DV-002560, APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-CM-6b

OWASP API: 2019-API7, 2023-API7, 2023-API8

OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.2.6

PCI-DSS: 3.2-6.2, 3.2-6.5.9