Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 16.1.1, 16.0.6 i 15.11.10 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.1.1, 16.0.6 i 15.11.10 |
Numer CVE | CVE-2023-3424 |
Krytyczność | 7,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 10.3 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków do punktu końcowego Preview_markdown. |
Numer CVE | CVE-2023-2190 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 13.10 do 15.11.10, wszystkich wersji począwszy od 16.0 do 16.0.6, wszystkich wersji począwszy od 16.1 do 16.1.1. Użytkownicy mogą przeglądać nowe zatwierdzenia do projektów prywatnych w rozwidleniu utworzonym, gdy projekt był publiczny. |
Numer CVE | CVE-2023-3444 |
Krytyczność | 5,7/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.3 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1, który umożliwia atakującemu połączenie dowolnego kodu w chronione gałęzie z powodu błędu zatwierdzania CODEOWNERS. |
Numer CVE | CVE-2023-2620 |
Krytyczność | 5,5/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 15.1 przed 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Opiekun może zmodyfikować adres URL elementu webhook, aby ujawnić zamaskowane tajne elementy elementu webhook, manipulując innymi zamaskowanymi częściami. To dotyczy niepełnej poprawki dla luki CVE-2023-0838. |
Numer CVE | CVE-2023-3362 |
Krytyczność | 5,3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Opis | Problem z ujawnianiem informacji w GitLab CE/EE, który dotyczy wszystkich wersji od 16.0 do 16.0.6 i wersji 16.1.0, umożliwia nieuwierzytelnionym aktorom dostęp do informacji o błędach importu, jeżeli projekt został zaimportowany z GitHub. |
Numer CVE | CVE-2023-3102 |
Krytyczność | 5,3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Opis | W GitLab EE wykryto problem wycieku wrażliwych informacji, który dotyczy wszystkich wersji począwszy od 16.0 do 16.0.6, wszystkich wersji począwszy od 16.1 do 16.1.1, co umożliwia dostęp do tytułów prywatnych wydań i wniosków o scalenie |
Numer CVE | CVE-2023-2576 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 13.7 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Pozwoliło to deweloperowi usunąć reguły CODEOWNERS i połączyć się z chronioną gałęzią. |
Numer CVE | CVE-2023-2200 |
Krytyczność | 4,1/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 7.14 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1, który umożliwia atakującemu wstrzyknięcie kodu HTML do pole adresu e-mail |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/ |