漏洞标题
N/A
漏洞描述信息
从14.5版本起,GitLab CE/EE的所有版本中,Jupyter Notebook 的 HTML 属性未正确sanitize,这允许攻击者代表用户执行任意HTTP POST请求,可能导致用户账户被接管
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Missing sanitization of HTML attributes in Jupyter notebooks in all versions of GitLab CE/EE since version 14.5 allows an attacker to perform arbitrary HTTP POST requests on a user's behalf leading to potential account takeover
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
GitLab Enterprise Edition和GitLab Community Edition 跨站请求伪造漏洞
漏洞描述信息
GitLab Enterprise Edition是一套内容管理系统。GitLab Community Edition是美国GitLab公司的一种社区版 GitLab 。 GitLab Enterprise Edition 和 Gitlab Community Edition存在跨站请求伪造漏洞,该漏洞源于 Jupyter notebooks 中用户提供的数据没有充分处理。一个远程认证的攻击者可利用该漏洞可以欺骗受害者跟随一个特别制作的链接,并在用户的浏览器中执行任意HTML和脚本代码的脆弱网站。
CVSS信息
N/A
漏洞类别
跨站请求伪造