| Product | Gitlab Community Edition: 15.11.0 – 16.8.1 GitLab Enterprise Edition: 15.11.0 – 16.8.1 |
| Numer CVE | CVE-2024-1250 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
| Opis | Luka wynika z niewłaściwych ograniczeń dostępu. Zdalny administrator może utworzyć tokeny dostępu grupowego z uprawnieniami właściciela i uzyskać podwyższone uprawnienia w systemie. |
| Numer CVE | CVE-2023-6840 |
| Krytyczność | 6,7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H, 6,7 |
| Opis | Luka wynika z nieprawidłowych ograniczeń dostępu w ustawieniach block_branch_modification. Zdalny administrator może zmienić nazwę chronionej gałęzi, która omija politykę bezpieczeństwa dodaną w celu blokowania MR. |
| Numer CVE | CVE-2023-6386 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w edytorze CI/CD Pipeline podczas sprawdzania składni Pipeline. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
| Numer CVE | CVE-2024-1066 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka istnieje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych podczas korzystania z GraphQL „vulnerabilitiesCountByDay”. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/02/07/security-release-gitlab-16-8-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-043)
Powiązane
Podatność w oprogramowaniu Ant Media Server
4 dni temu
SY0-701: Secure baselines (PL)
5 dni temu
Ile Nm klucz do warsztatu?
1 tydzień temu
Jakie koło dojazdowe do ford s max?
1 tydzień temu
Jaki jest najdłuższy kabel HDMI?
1 tydzień temu