GitLab reports :

During an internal code review, we discovered a critical security flaw in the 'impersonate' feature of GitLab. Added in GitLab 8.2, this feature was intended to allow an administrator to simulate being logged in as any other user.

A part of this feature was not properly secured and it was possible for any authenticated user, administrator or not, to 'log in' as any other user, including administrators. Please see the issue for more details.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - The impersonate feature in Gitlab 8.7.0, 8.6.0 through 8.6.7, 8.5.0 through 8.5.11, 8.4.0 through 8.4.9,     8.3.0 through 8.3.8, and 8.2.0 through 8.2.4 allows remote authenticated users to log in as any other     user via unspecified vectors. (CVE-2016-4340)

Note that Nessus relies on the presence of the package as reported by the vendor.

GitLab による報告：

内部コードの確認中に、私たちは GitLab の「impersonate」機能の重大なセキュリティの欠陥を発見しました。GitLab 8.2 で追加されたこの機能は、管理者が他のユーザーによるログインをシミュレーションすることを可能にするものでした。

この機能の一部は適切にセキュリティ保護されていなかったため、認証されたユーザーが、管理者であるかどうかにかかわらず、管理者を含めた他のユーザーとして「ログイン」することが可能でした。詳細についてはこの問題を参照してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Gitlab 8.7.0、 8.6.0 から 8.6.7、 8.5.0 から 8.5.11、 8.4.0 から []、 8.3.0 から 8.4.9、および 8.2.08.3.8から 8.2.4 のなりすまし機能により、認証されたリモートユーザーが他のユーザーとしてログインする可能性があります。引き起こす可能性があります。CVE-2016-4340

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Gitlab 8.7.0、 8.6.0 到 8.6.7、 8.5.0 到 8.5.11、 8.4.0 到 8.4.9、 8.3.0 到 [] 和 8.2.08.3.8到 8.2.4 中的假冒功能允许经过身份验证的远程用户以任何其他用户的身份登录通过不明载体。 (CVE-2016-4340)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - Gitlab 8.7.0、 8.6.0 至 8.6.7、 8.5.0 至 8.5.11、 8.4.0 至 8.4.9、 8.3.0 至 [] 以及 8.2.08.3.8至 8.2.4 中的模擬功能允許經驗證的遠端使用者以其他任何使用者的身分登入透過不明向量。 (CVE-2016-4340)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

GitLab 報告：

在內部程式碼檢閱期間，我們在 GitLab 的「模擬」功能中發現一個重大安全性瑕疵。此功能在 GitLab 8.2 中新增，目的要允許系統管理員模擬登入為其他任何使用者。

此功能的一部分並不安全，任何經驗證的使用者，無論是不是系統管理員，都能夠以其他任何使用者的身分「登入」，包括系統管理員在內。請參閱此問題以取得詳細資料。

GitLab 报告：

在内部代码审核期间，我们在 GitLab 的“模拟”功能中发现一个重大安全缺陷。此功能在 GitLab 8.2 中添加，其设计目的是允许系统管理员以其他任何用户的身份模拟登录。

此功能中有一部分并不安全，任何经认证的用户，无论是不是系统管理员，都能够以其他任何用户（包括系统管理员在内）的身份“登入”。请参阅此问题的说明，了解相关详细信息。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
90877	FreeBSD : gitlab -- privilege escalation via 'impersonate' feature (be72e773-1131-11e6-94fa-002590263bf5)	Nessus	FreeBSD Local Security Checks	2016/5/4	2021/1/4	high
254449	Linux Distros Unpatched Vulnerability : CVE-2016-4340	Nessus	Misc.	2025/8/25	2025/8/25	high
90877	FreeBSD：gitlab -- 「impersonate」機能を通じた権限昇格（be72e773-1131-11e6-94fa-002590263bf5）	Nessus	FreeBSD Local Security Checks	2016/5/4	2021/1/4	high
254449	Linux Distros のパッチ未適用の脆弱性: CVE-2016-4340	Nessus	Misc.	2025/8/25	2025/8/25	high
254449	Linux Distros 未修补的漏洞：CVE-2016-4340	Nessus	Misc.	2025/8/25	2025/8/25	high
254449	Linux Distros 未修補的弱點：CVE-2016-4340	Nessus	Misc.	2025/8/25	2025/8/25	high
90877	FreeBSD：gitlab -- 透過「模擬」功能提升權限 (be72e773-1131-11e6-94fa-002590263bf5)	Nessus	FreeBSD Local Security Checks	2016/5/4	2021/1/4	high
90877	FreeBSD：gitlab -- 通过“模拟”功能造成权限升级 (be72e773-1131-11e6-94fa-002590263bf5)	Nessus	FreeBSD Local Security Checks	2016/5/4	2021/1/4	high

检测

插件搜索

high

high

high

high

high

high

high

high