ホーム
» GitHub Security Advisories
» GHSA-mmmm-chjf-jmvw
説明
When importing repos via URL, one time use git credentials were persisted beyond the expected time window in Gitaly 1.79.0 or above. Affected versions are: >=1.79.0, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2.
基本情報
タイプ
reviewed
深刻度
low
GitHub 上のアドバイザリ
アドバイザリを開く ↗
リポジトリのアドバイザリ
—
ソースコード
ソースを見る ↗
公開(アドバイザリ)
2022-05-24 17:34:24 UTC
更新
2023-03-06 20:12:29 UTC
GitHub レビュー済み
2023-01-24 18:35:04 UTC
NVD で公開
2020-11-16
EPSS Score
Score
Percentile
0.04%
10.72%
CVSS Scores
Base score
Version
Severity
Vector
3.2
3.1
—
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
クリックして展開
攻撃ベクター (AV:L)
対象ホスト上でコードを実行できること、または別ユーザーの誤操作・悪意ある操作が前提になる。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:H)
管理者・SYSTEM など、強い権限を握った状態からでないと実害に結びつきにくい。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:C)
脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:L)
一部のデータや属性が漏えいしうるが、全件一括流出といった規模には至らない。
完全性への影響 (I:N)
改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:N)
業務継続に支障が出るレベルの停止や劣化は想定されない。
CWEs
CWE id
Name
CWE-613
Insufficient Session Expiration
Affected packages (3)
Vulnerable version ranges and first patched releases as published by GitHub.
Ecosystem
Package
Vulnerable range
First patched
Vulnerable functions
rubygems
gitaly
>= 1.79.0, < 13.3.9
13.3.9
—
rubygems
gitaly
>= 13.4, < 13.4.5
13.4.5
—
rubygems
gitaly
>= 13.5, < 13.5.2
13.5.2
—
cvelogic
Threat Intelligence