Product | Gitlab Community Edition: 15.11.0 – 16.8.1 GitLab Enterprise Edition: 15.11.0 – 16.8.1 |
Numer CVE | CVE-2024-1250 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Opis | Luka wynika z niewłaściwych ograniczeń dostępu. Zdalny administrator może utworzyć tokeny dostępu grupowego z uprawnieniami właściciela i uzyskać podwyższone uprawnienia w systemie. |
Numer CVE | CVE-2023-6840 |
Krytyczność | 6,7/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H, 6,7 |
Opis | Luka wynika z nieprawidłowych ograniczeń dostępu w ustawieniach block_branch_modification. Zdalny administrator może zmienić nazwę chronionej gałęzi, która omija politykę bezpieczeństwa dodaną w celu blokowania MR. |
Numer CVE | CVE-2023-6386 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w edytorze CI/CD Pipeline podczas sprawdzania składni Pipeline. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-1066 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Luka istnieje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych podczas korzystania z GraphQL „vulnerabilitiesCountByDay”. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2024/02/07/security-release-gitlab-16-8-2-released/ |