Produkt | Gitlab Community Edition: wiele wersji GitLab Enterprise Edition: wiele wersji |
Numer CVE | CVE-2023-2442 |
Krytyczność | 8,7/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Specjalnie spreparowane żądanie scalania może prowadzić do przechowywania XSS po stronie klienta, co umożliwia atakującym wykonywanie dowolnych działań w imieniu ofiar. |
Numer CVE | CVE-2023-2199 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 12.0 do 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków do punktu końcowego Preview_markdown. |
Numer CVE | CVE-2023-2198 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 8.7 do 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków do punktu końcowego Preview_markdown. |
Numer CVE | CVE-2023-2132 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.4 do 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Odmowa usługi wyrażeń regularnych DollarMathPostFilter w programie była możliwa dzięki wysłaniu spreparowanych ładunków do punktu końcowego Preview_markdown. |
Numer CVE | CVE-2023-0121 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab CE/EE wykryto problem związany z odmową usługi, który dotyczy wszystkich wersji począwszy od 13.2.4 przed 15.10.8, wszystkich wersji począwszy od 15.11 przed 15.11.7, wszystkich wersji począwszy od 16.0 przed 16.0.2, co pozwala atakującemu spowodować wysokie zużycie zasobów przy użyciu złośliwych artefaktów raportów z testów. |
Numer CVE | CVE-2023-2589 |
Krytyczność | 5,9/10 |
CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | W GitLab EE wykryto problem dotyczący wszystkich wersji od 12.0 do 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Osoba atakująca może sklonować repozytorium z projektu publicznego, z niedozwolonego adresu IP, choćby po tym, jak grupa najwyższego poziomu włączyła ograniczenia adresów IP dla grupy. |
Numer CVE | CVE-2023-2015 |
Krytyczność | 4,4/10 |
CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 15.8 przed 15.10.8, wszystkich wersji począwszy od 15.11 przed 15.11.7, wszystkich wersji począwszy od 16.0 przed 16.0.2. Odzwierciedlenie XSS było możliwe podczas tworzenia nowych zgłoszeń nadużyć, co pozwala atakującym na wykonywanie dowolnych działań w imieniu ofiar. |
Numer CVE | CVE-2023-2485 |
Krytyczność | 4,4/10 |
CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 14.1 do 15.10.8, wszystkich wersji począwszy od 15.11 do 15.11.7, wszystkich wersji począwszy od 16.0 do 16.0.2. Złośliwy opiekun w projekcie może eskalować innych użytkowników do właścicieli w tym projekcie, jeżeli zaimportuje członków z innego projektu, którego ci inni użytkownicy są właścicielami. |
Numer CVE | CVE-2023-2001 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji przed 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Osoba atakująca była w stanie sfałszować chronione tagi, co potencjalnie mogło skłonić ofiarę do pobrania złośliwego kodu. |
Numer CVE | CVE-2023-0921 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Opis | Brak sprawdzania poprawności długości w GitLab CE/EE, który dotyczy wszystkich wersji od 8.3 przed 15.10.8, 15.11 przed 15.11.7 i 16.0 przed 16.0.2, umożliwia uwierzytelnionemu atakującemu utworzenie dużego opisu problemu za pośrednictwem GraphQL, który, gdy jest wielokrotnie żądany, nasyca użycie procesora. |
Numer CVE | CVE-2023-1204 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 10.1 do 15.10.8, wszystkich wersji od 15.11 do 15.11.7, wszystkich wersji od 16.0 do 16.0.2. Użytkownik może użyć niezweryfikowanego adresu e-mail jako publicznego adresu e-mail i zatwierdzić go, wysyłając specjalnie spreparowane żądanie dotyczące ustawień aktualizacji użytkownika. |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/#stored-xss-with-csp-bypass-in-merge-requests |