关键漏洞信息 CVE ID: CVE-2021-39897 Assigner: cve@gitlab.com 受影响的 GitLab 版本: >=12.9, =12.10, =13.0, <13.0.1 问题类型: 不当的访问控制(Improper access control in GitLab) 问题描述: GitLab CE/EE 版本 10.5 及以上在子组转移到其他组后,从父组继承访问权限的子组成员仍可访问项目。 相关链接: GitLab Issue: https://gitlab.com/gitlab-org/gitlab/-/issues/341017 HackerOne 报告: https://hackerone.com/reports/1330806 CVE 确认: https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39897.json CVSS 评估: 攻击向量: 网络 (NETWORK) 攻击复杂度: 高 (HIGH) 用户交互: 必须 (REQUIRED) 基本分数: 2.6 基本严重性: 低 (LOW) 致谢: 感谢 joaxcar 通过 HackerOne 漏洞赏金计划报告此漏洞。 ``` 从截图中提取的关键信息包括 CVE 编号、受影响的 GitLab 版本范围、漏洞类型和描述、相关链接、CVSS 评分和致谢信息。这些信息有助于理解漏洞的性质和影响范围。