GitLab publikuje aktualizacje dla swoich produktów. (P24-016)

cert.pse-online.pl 4 miesięcy temu

Produkt	GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji
Numer CVE	CVE-2023-7028
Krytyczność	10/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Opis	W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 16.1 przed 16.1.6, 16.2 przed 16.2.9, 16.3 przed 16.3.7, 16.4 przed 16.4.5, 16.5 przed 16.5.6, 16.6 przed 16.6.4 i 16.7 przed 16.7.2, w których wiadomości e-mail dotyczące resetowania hasła do konta użytkownika mogły być dostarczane na niezweryfikowany adres e-mail.

Numer CVE	CVE-2023-4812
Krytyczność	7,6/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:N
Opis	W GitLabie wykryto problem wpływający na wszystkie wersje począwszy od 15.3 przed 16.5.5, wszystkie wersje począwszy od 16.6 przed 16.6.4, wszystkie wersje począwszy od 16.7 przed 16.7.2. Wymaganą zgodę CODEOWNERS można ominąć, dodając zmiany do wcześniej zatwierdzonego żądania połączenia.

Numer CVE	CVE-2023-5356
Krytyczność	7,3/10
CVSS	AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
Opis	Nieprawidłowe sprawdzenie autoryzacji w GitLab CE/EE ze wszystkich wersji począwszy od 8.13 przed 16.5.6, wszystkich wersji począwszy od 16.6 przed 16.6.4, wszystkich wersji począwszy od 16.7 przed 16.7.2, pozwala użytkownikowi na nadużywanie integracji Slack/Mattermost w celu wykonania polecenia ukośnikowe jako inny użytkownik.

Numer CVE	CVE-2023-6955
Krytyczność	6,6/10
CVSS	AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N
Opis	W GitLab Remote Development występuje niewłaściwa luka w kontroli dostępu, która dotyczy wszystkich wersji wcześniejszych niż 16.5.6, 16.6 wcześniejszych niż 16.6.4 i 16.7 wcześniejszych niż 16.7.2. Ten warunek umożliwia osobie atakującej utworzenie obszaru roboczego w jednej grupie, który jest powiązany z agentem z innej grupy.

Aktualizacja	TAK
Link	https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/