Produkt | GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji |
Numer CVE | CVE-2023-5207 |
Krytyczność | 8,2/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Opis | W GitLab CE i EE wykryto lukę, która dotyczy wszystkich wersji, począwszy od 16.0 przed 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Uwierzytelniony atakujący może wykonać dowolne wykonanie potoku w kontekście innego użytkownika. |
Numer CVE | CVE-2023-5106 |
Krytyczność | 8,2/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Opis | W GitLab EE z licencją Ultimate wykryto dwa problemy, wpływające na wszystkie wersje, począwszy od 13.12 przed 16.2.8, 16.3.0 przed 16.3.5 i 16.4.0 przed 16.4.1, które mogą umożliwić osobie atakującej podszywanie się pod użytkowników w CI rurociągów poprzez bezpośredni import grupowy przesyłu. |
Numer CVE | CVE-2023-4379 |
Krytyczność | 8,1/10 |
CVSS | AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N |
Opis | W GitLab EE wykryto problem dotyczący wszystkich wersji, począwszy od 15.3 przed 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Zatwierdzenie właściciela kodu nie zostało usunięte z żądań scalania, gdy zaktualizowano gałąź docelową. |
Numer CVE | CVE-2023-3413 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Opis | W GitLab wykryto problem wpływający na wszystkie wersje począwszy od 16.2 przed 16.2.8, wszystkie wersje począwszy od 16.3 przed 16.3.5, wszystkie wersje począwszy od 16.4 przed 16.4.1. Możliwe było, iż nieuprawniony użytkownik rozwidli projekt publiczny. |
Numer CVE | CVE-2023-5332 |
Krytyczność | 5,9/10 |
CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N |
Opis | Łatka w bibliotece innej firmy Consul wymaga ustawienia opcji „enable-script-checks” na wartość False. Dotyczy to tylko GitLab-EE. |
Numer CVE | CVE-2023-3914 |
Krytyczność | 5,4/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Opis | Błąd logiki biznesowej w GitLab EE występujący we wszystkich wersjach wcześniejszych niż 16.2.8, 16.3 wcześniejszych niż 16.3.5 i 16.4 wcześniejszych niż 16.4.1 umożliwia dostęp do projektów wewnętrznych. Konto usługi nie jest usuwane w przypadku usunięcia przestrzeni nazw, co umożliwia dostęp do projektów wewnętrznych. |
Numer CVE | CVE-2023-3115 |
Krytyczność | 5,4/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje, wpływający na wszystkie wersje od 11.11 do 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Ograniczenia dotyczące pojedynczego logowania nie zostały prawidłowo wyegzekwowane w przypadku pośrednich członków projektu uzyskujących dostęp do publicznych repozytoriów projektów przeznaczonych tylko dla członków. |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2023/09/28/security-release-gitlab-16-4-1-released/#attacker-can-add-other-projects-policy-bot-as-member-to-their-own-project-and-use-that-bot-to-trigger-pipelines-in-victims-project |