| Produkt | GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji |
| Numer CVE | CVE-2023-6680 |
| Krytyczność | 7,4/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Opis | Problem z nieprawidłowym sprawdzaniem certyfikatu w uwierzytelnianiu dzięki karty inteligentnej w GitLab EE mający wpływ na wszystkie wersje od 11.6 przed 16.4.4, 16.5 przed 16.5.4 i 16.6 przed 16.6.2 umożliwia atakującemu uwierzytelnienie się jako inny użytkownik na podstawie jego klucza publicznego, jeżeli użyj uwierzytelniania dzięki karty inteligentnej. Uwierzytelnianie dzięki karty inteligentnej jest funkcją eksperymentalną i musi zostać włączone manualnie przez administratora. |
| Numer CVE | CVE-2023-6564 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| Opis | W GitLab EE Premium i Ultimate wykryto problem dotyczący wersji 16.4.3, 16.5.3 i 16.6.1. W projektach wykorzystujących podgrupy do określenia, kto może wypychać i/lub łączyć się z chronionymi gałęziami, mogły wystąpić przypadki, w których członkowie podgrupy z rolą Dewelopera byli w stanie wypychać lub łączyć się z chronionymi gałęziami. |
| Numer CVE | CVE-2023-6051 |
| Krytyczność | 5,7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.4.4, wszystkich wersji rozpoczynających się od 15.5 przed 16.5.4, wszystkich wersji rozpoczynających się od 16.6 przed 16.6.2. Integralność pliku może zostać naruszona, gdy kod źródłowy lub pakiety instalacyjne zostaną pobrane z określonego tagu. |
| Numer CVE | CVE-2023-3907 |
| Krytyczność | 4,9/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
| Opis | Luka w zabezpieczeniach GitLab EE umożliwiająca eskalację uprawnień, mająca wpływ na wszystkie wersje od 16.0 przed 16.4.4, 16.5 przed 16.5.4 i 16.6 przed 16.6.2, umożliwia opiekunowi projektu użycie tokenu dostępu do projektu w celu eskalacji swojej roli do właściciela. |
| Numer CVE | CVE-2023-5512 |
| Krytyczność | 4,8/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N |
| Opis | Luka w zabezpieczeniach GitLab EE umożliwiająca eskalację uprawnień, mająca wpływ na wszystkie wersje od 16.0 przed 16.4.4, 16.5 przed 16.5.4 i 16.6 przed 16.6.2, umożliwia opiekunowi projektu użycie tokenu dostępu do projektu w celu eskalacji swojej roli do właściciela. |
| Numer CVE | CVE-2023-3904 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L |
| Opis | W GitLab EE wykryto problem dotyczący wszystkich wersji rozpoczynających się przed 16.4.4, wszystkich wersji rozpoczynających się od 16.5 przed 16.5.4, wszystkich wersji rozpoczynających się od 16.6 przed 16.6.2. Możliwe było przekroczenie czasu poświęconego sprawie, co spowodowało zmianę szczegółów pokazywanych na tablicach zagadnień. |
| Numer CVE | CVE-2023-5061 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Opis | W GitLabie wykryto problem wpływający na wszystkie wersje począwszy od 9.3 przed 16.4.4, wszystkie wersje począwszy od 16.5 przed 16.5.4, wszystkie wersje począwszy od 16.6 przed 16.6.2. W niektórych sytuacjach programiści mogli zastąpić predefiniowane zmienne CI za pośrednictwem interfejsu API REST. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2023/12/13/security-release-gitlab-16-6-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P23-371)
Powiązane
Od czego robi się guz na oponie?
5 dni temu