| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 16.11.1, 16.10.4, 16.9.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.11.1, 16.10.4, 16.9.6 |
| Numer CVE | CVE-2024-4024 |
| Krytyczność | 7,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N |
| Opis | Luka wynika z niewłaściwych ograniczeń dostępu. Zdalny użytkownik posiadający dane uwierzytelniające do konta Bitbucket może przejąć konto GitLab połączone z kontem Bitbucket innego użytkownika, jeżeli Bitbucket jest używany jako dostawca OAuth 2.0 w GitLab. |
| Numer CVE | CVE-2024-2829 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H |
| Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych w FileFinder podczas korzystania z filtrów wieloznacznych podczas wyszukiwania plików projektu. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” wyrażeń regularnych (ReDos). |
| Numer CVE | CVE-2024-4006 |
| Krytyczność | 4,3/10 |
| CVSS | AV:Nie dotyczy:L/PR:L/UI:N/S:U/C:L/I:Nie dotyczy:N |
| Opis | Luka istnieje, ponieważ zakresy tokenów dostępu osobistego nie są honorowane przez subskrypcje GraphQL. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
| Numer CVE | CVE-2024-1347 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Opis | Luka wynika z niewłaściwych ograniczeń dostępu. Zdalny użytkownik może użyć specjalnie spreparowanego adresu e-mail i ominąć ograniczenia oparte na domenie nałożone na instancję lub grupę. |
| Numer CVE | CVE-2024-2434 |
| Krytyczność | 8,5/10 |
| CVSS | AV:Nie dotyczy:L/PR:L/UI:N/S:C/C:L/I:Nie dotyczy:H |
| Opis | Luka wynika z błędu sprawdzania poprawności danych wejściowych podczas przetwarzania sekwencji przeglądania katalogów. Zdalny użytkownik może wysłać specjalnie spreparowane żądanie HTTP i odczytać dowolne pliki w systemie, co może prowadzić do ataku typu „odmowa usługi” (DoS). |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/04/24/patch-release-gitlab-16-11-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-138)
Powiązane
RCE w D-Link NAS. Poprawek nie będzie
2 tygodni temu
GlobalProtect VPN. Mamy stanowiska uczelni i Palo Alto
2 tygodni temu
Poznań Security Meetup #2 2024 – rozkręcamy się
2 tygodni temu
