1. CVE-Search
  2. CVE-2013-4490
ID CVE-2013-4490
Summary The SSH key upload feature (lib/gitlab_keys.rb) in gitlab-shell before 1.7.3, as used in GitLab 5.0 before 5.4.1 and 6.x before 6.2.3, allows remote authenticated users to execute arbitrary commands via shell metacharacters in the public key. Per: http://cwe.mitre.org/data/definitions/77.html "CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')"
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:5.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:5.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:5.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:5.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:5.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:5.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:6.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:6.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:6.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:6.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:6.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:6.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:6.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:6.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab:6.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab:6.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitlab:gitlab-shell:1.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitlab:gitlab-shell:1.7.2:*:*:*:*:*:*:*
CVSS
Base: 6.5 (as of 14-05-2014 - 15:49)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:P/A:P
refmap via4
confirm https://www.gitlab.com/2013/11/04/gitlab-ce-6-2-and-5-4-security-release/
Last major update 14-05-2014 - 15:49
Published 13-05-2014 - 15:55
Last modified 14-05-2014 - 15:49
Back to Top