GitLab publikuje aktualizacje dla swoich produktów. (P24-075)

cert.pse-online.pl 9 miesięcy temu
ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7
Numer CVECVE-2024-0199
Krytyczność7,7/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisW GitLab wykryto lukę umożliwiającą obejście autoryzacji, wpływającą na wersje 11.3 przed 16.7.7, 16.7.6 przed 16.8.4 i 16.8.3 przed 16.9.2. Osoba atakująca może ominąć CODEOWNERS, wykorzystując spreparowany ładunek w starej gałęzi funkcji do wykonywania złośliwych działań.
Numer CVECVE-2024-1299
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
OpisW GitLab wykryto lukę w zabezpieczeniach związaną z eskalacją uprawnień, występującą w wersjach 16.8 wcześniejszych niż 16.8.4 i 16.9 wcześniejszych niż 16.9.2. Użytkownik z niestandardową rolą Manage_group_access_tokens mógł obracać tokeny dostępu grupy z uprawnieniami właściciela.
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/
Idź do oryginalnego materiału