製品・ソフトウェアに関する情報
Vulnerability Search
GitLab の "import/export project" 機能における GitLab サービスアカウントにアクセス可能なすべてのファイルの内容を取得される脆弱性
Title GitLab の "import/export project" 機能における GitLab サービスアカウントにアクセス可能なすべてのファイルの内容を取得される脆弱性
Summary

GitLab の "import/export project" 機能は、ユーザより提供されたアーカイブのシンボリックリンクを適切にチェックしないため、GitLab サービスアカウントにアクセス可能なすべてのファイルの内容を取得される脆弱性が存在します。

Possible impacts 認証されたユーザにより、GitLab サービスアカウントにアクセス可能なすべてのファイルの内容を取得される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Nov. 2, 2016, midnight
Registration Date Nov. 7, 2016, 3:49 p.m.
Last Update Nov. 7, 2016, 3:49 p.m.
CVSS3.0 : 警告
Score 6.5
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVSS2.0 : 警告
Score 4
Vector AV:N/AC:L/Au:S/C:P/I:N/A:N
Affected System
GitLab.org
GitLab 8.10.0 から 8.10.12
GitLab 8.11.0 から 8.11.9
GitLab 8.12.0 から 8.12.7
GitLab 8.13.0 から 8.13.2
GitLab 8.9.0 から 8.9.11
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2016年11月07日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-9086
Summary

GitLab versions 8.9.x and above contain a critical security flaw in the "import/export project" feature of GitLab. Added in GitLab 8.9, this feature allows a user to export and then re-import their projects as tape archive files (tar). All GitLab versions prior to 8.13.0 restricted this feature to administrators only. Starting with version 8.13.0 this feature was made available to all users. This feature did not properly check for symbolic links in user-provided archives and therefore it was possible for an authenticated user to retrieve the contents of any file accessible to the GitLab service account. This included sensitive files such as those that contain secret tokens used by the GitLab service to authenticate users. GitLab CE and EE versions 8.13.0 through 8.13.2, 8.12.0 through 8.12.7, 8.11.0 through 8.11.10, 8.10.0 through 8.10.12, and 8.9.0 through 8.9.11 are affected.

Publication Date Nov. 3, 2016, 7:59 p.m.
Registration Date Jan. 26, 2021, 2:19 p.m.
Last Update Nov. 21, 2024, noon
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:gitlab:gitlab:8.12.6:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.2:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.13.2:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.0:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.6:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.2:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.1:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.6:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.6:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.7:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.11:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.2:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.8:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.4:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.1:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.5:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.7:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.7:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.0:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.0:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.9:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.3:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.1:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.5:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.3:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.9:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.10:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.2:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.8:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.3:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.9:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.8:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.13.0:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.4:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.10:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.12:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.11:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.4:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.0:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.9.3:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.4:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.1:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.13.1:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.12.5:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.11.7:*:*:*:*:*:*:*
cpe:2.3:a:gitlab:gitlab:8.10.5:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List