| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.0.0 i 17.0.1 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.0.0 i 17.0.1 |
| Numer CVE | CVE-2024-6385 |
| Krytyczność | 9.6/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wersji od 15.8 przed 16.11.6, 17.0 przed 17.0.4 i 17.1 przed 17.1.2, który umożliwia osobie atakującej uruchomienie przepływu danych jako inny użytkownik w określonych okolicznościach. |
| Numer CVE | CVE-2024-5257 |
| Krytyczność | 4.9/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 17.0 przed 17.0.4 i od 17.1 przed 17.1.2, w którym użytkownik z uprawnieniami developera z niestandardową rolą admin_compliance_framework mógł być w stanie zmodyfikować adres URL przestrzeni nazw grupy. |
| Numer CVE | CVE-2024-5470 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 17.0 przed 17.0.4 i od 17.1 przed 17.1.2, w którym użytkownik Gość z uprawnieniami admin_push_rules mógł być w stanie utworzyć tokeny wdrażania na poziomie projektu. |
| Numer CVE | CVE-2024-6595 |
| Krytyczność | 3.0/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 11.8 przed 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, gdzie możliwe było przesłanie pakietu NPM ze sprzecznymi dane pakietu. |
| CVE | CVE-2024-2880 |
| Krytyczność | 2.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 16.5 przed 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, w którym użytkownik z niestandardowym uprawnieniem roli admin_group_member mógł zablokować członków grupy. |
| CVE | CVE-2024-5528 |
| Krytyczność | 3.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, który umożliwia przejęcie subdomeny w GitLab Pages poprzez sprawdzenie, czy domena jest włączana za każdym razem, gdy domena niestandardowa jest rozpoznawana. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/#an-attacker-can-run-pipeline-jobs-as-an-arbitrary-user |
GitLab publikuje aktualizacje dla swoich produktów. (P24-232)
Powiązane
To "kara" za ewolucję. Tak ludzie płacą za inteligencję
12 godzin temu
