Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 16.9.1, 16.8.3 i 16.7.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.9.1, 16.8.3 i 16.7.6 |
Numer CVE | CVE-2024-1451 |
Krytyczność | 8,7/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Opis | W GitLab CE/EE wykryto problem dotyczący tylko wersji 16.9. Stworzony ładunek dodany do strony profilu użytkownika może prowadzić do przechowywania XSS po stronie klienta, co umożliwia atakującym wykonanie dowolnych działań w imieniu ofiar. |
Numer CVE | CVE-2023-6477 |
Krytyczność | 6,7/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L |
Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.5 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Gdy użytkownikowi zostanie przypisana niestandardowa rola z uprawnieniami admin_group_member, może on mieć możliwość uczynienia grupy, innych członków lub siebie właścicielami tej grupy, co może prowadzić do eskalacji uprawnień. |
Numer CVE | CVE-2023-6736 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 11.3 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Osoba atakująca mogła spowodować odmowę usługi po stronie klienta, wykorzystując złośliwą, spreparowaną zawartość w pliku CODEOWNERS. Ten |
Numer CVE | CVE-2024-1525 |
Krytyczność | 5,3/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N |
Opis | W GitLab CE/EE wykryto problem wpływający na wszystkie wersje począwszy od 16.1 przed 16.7.2, wszystkie wersje począwszy od 16.8 przed 16.8.2, wszystkie wersje począwszy od 16.9 przed 16.9.2. W pewnych szczególnych warunkach użytkownik LDAP może mieć możliwość zresetowania hasła przy użyciu zweryfikowanego dodatkowego adresu e-mail i zalogowania się przy użyciu bezpośredniego uwierzytelnienia dzięki resetowanego hasła, z pominięciem protokołu LDAP. |
Numer CVE | CVE-2023-4895 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/D:N |
Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 12.0 do 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Luka ta umożliwia ominięcie ustawień „ograniczeń IP grupy” w celu uzyskania dostępu do szczegółów środowiska projektów. |
Numer CVE | CVE-2024-0861 |
Krytyczność | 4,3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Opis | W GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.4 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Użytkownicy z rolą Gość mogą zmieniać ustawienia projektów niestandardowych paneli kontrolnych wbrew uprawnieniom. |
Numer CVE | CVE-2023-3509 |
Krytyczność | 3,7/10 |
CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
Opis | W GitLabie wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.7.6, wszystkich wersji rozpoczynających się od 16.8 przed 16.8.3 i wszystkich wersji rozpoczynających się od 16.9 przed 16.9.1. Członkowie grupy pełniący rolę podopiekuna mogli zmieniać tytuły dostępnych prywatnie kluczy wdrażania powiązanych z projektami w grupie. |
Numer CVE | CVE-2024-0410 |
Krytyczność | 3,0/10 |
CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N |
Opis | W GitLab wykryto lukę w zabezpieczeniach pozwalającą na obejście autoryzacji, wpływającą na wersje 15.1 przed 16.7.6, 16.8 przed 16.8.3 i 16.9 przed 16.9.1. Programista może ominąć zatwierdzenia CODEOWNERS, tworząc konflikt scalania. |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2024/02/21/security-release-gitlab-16-9-1-released/ |