| Produkt | GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji |
| Numer CVE | CVE-2023-6033 |
| Krytyczność | 8,7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | Niewłaściwa neutralizacja danych wejściowych w konfiguracji integracji Jira w GitLab CE/EE, wpływająca na wszystkie wersje od 15.10 przed 16.6.1, 16.5 przed 16.5.3 i 16.4 przed 16.4.3, umożliwiła atakującemu wykonanie JavaScript w przeglądarce ofiary. |
| Numer CVE | CVE-2023-6396 |
| Krytyczność | 8,1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Gdy użytkownikowi zostanie przypisana niestandardowa rola z włączoną opcją admin_group_member`, może być w stanie dodać do grupy członka z wyższą rolą statyczną niż on sam, co może prowadzić do eskalacji uprawnień. |
| Numer CVE | CVE-2023-3949 |
| Krytyczność | 5,3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/D:N |
| Opis | W GitLab wykryto problem wpływający na wszystkie wersje począwszy od 11.3 przed 16.4.3, wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Nieautoryzowani użytkownicy mogli przeglądać opisy wydań projektów publicznych za pośrednictwem punktu końcowego Atom, gdy publiczny dostęp do wersji był ustawiony tylko dla członków projektu |
| Numer CVE | CVE-2023-5226 |
| Krytyczność | 4,8/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N |
| Opis | W GitLabie wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.4.3, wszystkich wersji rozpoczynających się od 16.5 przed 16.5.3 i wszystkich wersji rozpoczynających się od 16.6 przed 16.6.1. W pewnych okolicznościach złośliwy aktor omija zabronione sprawdzanie oddziałów, używając specjalnie spreparowanej nazwy oddziału w celu manipulowania zawartością repozytorium w interfejsie użytkownika. |
| Numer CVE | CVE-2023-5995 |
| Krytyczność | 4,4/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/D:N |
| Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.2 przed 16.4.3, wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Osoba atakująca mogła wykorzystać bota zasad w celu uzyskania dostępu do projektów wewnętrznych. |
| Numer CVE | CVE-2023-4912 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L |
| Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 10.5 przed 16.4.3, wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Osoba atakująca mogła spowodować odmowę usługi po stronie klienta, korzystając ze złośliwych danych wejściowych spreparowanego diagramu syreny. |
| Numer CVE | CVE-2023-4317 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L |
| Opis | W GitLab wykryto problem wpływający na wszystkie wersje począwszy od 9.2 przed 16.4.3, wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Użytkownik z rolą Deweloper mógł zaktualizować harmonogram potoku z gałęzi niechronionej do gałęzi chronionej. |
| Numer CVE | CVE-2023-3964 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/D:N |
| Opis | W GitLab wykryto problem wpływający na wszystkie wersje począwszy od 13.2 przed 16.4.3, wszystkie wersje począwszy od 16.5 przed 16.5.3, wszystkie wersje począwszy od 16.6 przed 16.6.1. Użytkownicy mogli uzyskać dostęp do pakietów kompozytora w projektach publicznych, które mają wyłączoną rejestrację pakietów w ustawieniach projektu. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P23-352)
Powiązane
Od czego robi się guz na oponie?
5 dni temu