Уязвимость функции SCIM (System of Cross-domain Identity Management) программной платформы на базе git для совместной работы над кодом GitLab связана с возможностью приглашения произвольных пользователей через свое имя пользователя и адрес электронной почты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить захват учетных записей пользователей путем изменения адреса их электронной почты
BDU:2022-03328
- использование многофакторной аутентификации;
- отключение SAML SSO аутентификации.
Источники информации:
https://www.tenable.com/cve/CVE-2022-1680
https://nvd.nist.gov/vuln/detail/CVE-2022-1680
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1680.json
https://gitlab.com/gitlab-org/gitlab/-/issues/363058
BDU:2022-03328
CVE-2022-1680
Компенсирующие меры:- использование многофакторной аутентификации;
- отключение SAML SSO аутентификации.
Источники информации:
https://www.tenable.com/cve/CVE-2022-1680
https://nvd.nist.gov/vuln/detail/CVE-2022-1680
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1680.json
https://gitlab.com/gitlab-org/gitlab/-/issues/363058