GitLab publikuje aktualizacje dla swoich produktów. (P24-075)

cert.pse-online.pl 1 miesiąc temu

Produkt	GitLab Community Edition (CE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7
Numer CVE	CVE-2024-0199
Krytyczność	7,7/10
CVSS	AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis	W GitLab wykryto lukę umożliwiającą obejście autoryzacji, wpływającą na wersje 11.3 przed 16.7.7, 16.7.6 przed 16.8.4 i 16.8.3 przed 16.9.2. Osoba atakująca może ominąć CODEOWNERS, wykorzystując spreparowany ładunek w starej gałęzi funkcji do wykonywania złośliwych działań.

Numer CVE	CVE-2024-1299
Krytyczność	6,5/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Opis	W GitLab wykryto lukę w zabezpieczeniach związaną z eskalacją uprawnień, występującą w wersjach 16.8 wcześniejszych niż 16.8.4 i 16.9 wcześniejszych niż 16.9.2. Użytkownik z niestandardową rolą Manage_group_access_tokens mógł obracać tokeny dostępu grupy z uprawnieniami właściciela.

Aktualizacja	TAK
Link	https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/