The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - Due to improper handling of OAuth client IDs, new subscriptions generated OAuth tokens on an incorrect     OAuth client application. This vulnerability is present in GitLab CE/EE since version 14.1.
    (CVE-2021-22236)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

Gitlab reports :

Stored XSS in Mermaid when viewing Markdown files

Stored XSS in default branch name

Perform Git actions with an impersonation token even if impersonation is disabled

Tag and branch name confusion allows Developer to access protected CI variables

New subscriptions generate OAuth tokens on an incorrect OAuth client application

Ability to list and delete impersonation tokens for your own user

Pipelines page is partially visible for users that have no right to see CI/CD

Improper email validation on an invite URL

Unauthorised user was able to add meta data upon issue creation

Unauthorized user can trigger deployment to a protected environment

Guest in private project can see CI/CD Analytics

Guest users can create issues for Sentry errors and track their status

Private user email disclosure via group invitation

Projects are allowed to add members with email address domain that should be blocked by group settings

Misleading username could lead to impersonation in using SSH Certificates

Unauthorized user is able to access and view project vulnerability reports

Denial of service in repository caused by malformed commit author

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - OAuth クライアント ID の不適切な処理により、新しいサブスクリプションが誤った OAuth クライアントアプリケーションで OAuth トークンを生成します。この脆弱性は、バージョン 14.1 以降の GitLab CE/EE に存在します。
    (CVE-2021-22236)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Gitlabによる報告：

Markdownファイルを表示する際のMermaidにおける蓄積型XSS

デフォルトのブランチ名における蓄積型XSS

なりすましが無効になっている場合でも、なりすましトークンでGitのアクションを実行します

タグとブランチ名の混乱により、開発者は保護されたCI変数にアクセスできます

新しいサブスクリプションは、正しくないOAuthクライアントアプリケーションでOAuthトークンを生成します

自身のユーザーのなりすましトークンをリストおよび削除する機能

CI/CDを表示する権利を持たないユーザーに対して、パイプラインページが部分的に表示されます

招待URLでの不適切なメールの検証

権限のないユーザーが、問題作成時にメタデータを追加できました

権限のないユーザーが、保護された環境へのデプロイメントを発生させる可能性があります

プライベートプロジェクトのゲストはCI/CD分析を表示できます

ゲストユーザーが、Sentryエラーに対する問題を作成し、ステータスを追跡する可能性があります

グループの招待による、プライベートユーザーのメール漏洩

プロジェクトは、グループ設定によりブロックされるべきメールアドレスドメインを持つメンバーを追加することが許可されています

ユーザー名を誤解すると、SSH証明書の使用時になりすましを引き起こす可能性があります

権限のないユーザーは、プロジェクトの脆弱性レポートにアクセスして表示することができます

無効な形式のコミット作成者が引き起こすリポジトリでのサービス拒否

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 由於不當處理 OAuth 用戶端 ID，新訂閱會在錯誤的 OAuth 用戶端應用程式上產生 OAuth 權杖。此弱點存在於 GitLab CE/EE 14.1 之後的版本中。
    (CVE-2021-22236)

請注意，Nessus 依賴供應商報告的套件存在。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - OAuth クライアント ID の不適切な処理により、新しいサブスクリプションが誤った OAuth クライアントアプリケーションで OAuth トークンを生成します。この脆弱性は、バージョン 14.1 以降の GitLab CE/EE に存在します。
    (CVE-2021-22236)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Due to improper handling of OAuth client IDs, new subscriptions generated OAuth tokens on an incorrect     OAuth client application. This vulnerability is present in GitLab CE/EE since version 14.1.
    (CVE-2021-22236)

Note that Nessus relies on the presence of the package as reported by the vendor.

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 由于未正确处理 OAuth 客户端 ID，新订阅会在错误的 OAuth 客户端应用程序上生成 OAuth 标记。自版本 14.1 以来，GitLab CE/EE 便存在此漏洞。
    (CVE-2021-22236)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 由于未正确处理 OAuth 客户端 ID，新订阅会在错误的 OAuth 客户端应用程序上生成 OAuth 标记。自版本 14.1 以来，GitLab CE/EE 便存在此漏洞。
    (CVE-2021-22236)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 由於不當處理 OAuth 用戶端 ID，新訂閱會在錯誤的 OAuth 用戶端應用程式上產生 OAuth 權杖。此弱點存在於 GitLab CE/EE 14.1 之後的版本中。
    (CVE-2021-22236)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
187498	GitLab 14.1 < 14.1.2 (CVE-2021-22236)	Nessus	CGI abuses	2024/1/3	2024/5/17	high
152227	FreeBSD : Gitlab -- Gitlab (1d651770-f4f5-11eb-ba49-001b217b3468)	Nessus	FreeBSD Local Security Checks	2021/8/5	2021/9/7	high
187498	GitLab 14.1 < 14.1.2 (CVE-2021-22236)	Nessus	CGI abuses	2024/1/3	2024/5/17	high
152227	FreeBSD：Gitlab -- Gitlab（1d651770-f4f5-11eb-ba49-001b217b3468）	Nessus	FreeBSD Local Security Checks	2021/8/5	2021/9/7	high
259414	Linux Distros 未修補的弱點：CVE-2021-22236	Nessus	Misc.	2025/8/30	2025/8/30	high
259414	Linux Distros のパッチ未適用の脆弱性: CVE-2021-22236	Nessus	Misc.	2025/8/30	2025/8/30	high
259414	Linux Distros Unpatched Vulnerability : CVE-2021-22236	Nessus	Misc.	2025/8/30	2025/8/30	high
187498	GitLab 14.1 < 14.1.2 (CVE-2021-22236)	Nessus	CGI abuses	2024/1/3	2024/5/17	high
259414	Linux Distros 未修补的漏洞：CVE-2021-22236	Nessus	Misc.	2025/8/30	2025/8/30	high
187498	GitLab 14.1 < 14.1.2 (CVE-2021-22236)	Nessus	CGI abuses	2024/1/3	2024/5/17	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

high