GitLab publikuje aktualizacje dla swoich produktów. (P24-232)

cert.pse-online.pl 5 miesięcy temu
ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 17.0.0 i 17.0.1 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.0.0 i 17.0.1
Numer CVECVE-2024-6385
Krytyczność9.6/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wersji od 15.8 przed 16.11.6, 17.0 przed 17.0.4 i 17.1 przed 17.1.2, który umożliwia osobie atakującej uruchomienie przepływu danych jako inny użytkownik w określonych okolicznościach.
Numer CVECVE-2024-5257
Krytyczność4.9/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 17.0 przed 17.0.4 i od 17.1 przed 17.1.2, w którym użytkownik z uprawnieniami developera z niestandardową rolą admin_compliance_framework mógł być w stanie zmodyfikować adres URL przestrzeni nazw grupy.
Numer CVECVE-2024-5470
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 17.0 przed 17.0.4 i od 17.1 przed 17.1.2, w którym użytkownik Gość z uprawnieniami admin_push_rules mógł być w stanie utworzyć tokeny wdrażania na poziomie projektu.
Numer CVECVE-2024-6595
Krytyczność3.0/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 11.8 przed 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, gdzie możliwe było przesłanie pakietu NPM ze sprzecznymi dane pakietu.
CVECVE-2024-2880
Krytyczność2.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 16.5 przed 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, w którym użytkownik z niestandardowym uprawnieniem roli admin_group_member mógł zablokować członków grupy.
CVECVE-2024-5528
Krytyczność3.5/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.11.6, począwszy od 17.0 przed 17.0.4 i począwszy od 17.1 przed 17.1.2, który umożliwia przejęcie subdomeny w GitLab Pages poprzez sprawdzenie, czy domena jest włączana za każdym razem, gdy domena niestandardowa jest rozpoznawana.
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/#an-attacker-can-run-pipeline-jobs-as-an-arbitrary-user
Idź do oryginalnego materiału