| Produkt | GitLab Community Edition (CE) – wersje starsze niż 17.2.1, 17.1.3, 17.0.5 GitLab Enterprise Edition (EE) – wersje starsze niż 17.2.1, 17.1.3, 17.0.5 |
| Numer CVE | N/A |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | W GitLab CE/EE istnieje luka w zabezpieczeniach związana z obsługą skryptów krzyżowych, wpływająca na wszystkie wersje od 16.6 przed 17.0.5, 17.1 przed 17.1.3, 17.2 przed 17.2.1, umożliwiająca atakującemu wykonanie dowolnych skryptów w kontekście aktualnie zalogowanego użytkownika. |
| Numer CVE | CVE-2024-5067 |
| Krytyczność | 4.4/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
| Opis | W GitLab EE wykryto problem dotyczący wszystkich wersji, począwszy od 16.11 przed 17.0.5, 17.1 przed 17.1.3, 17.2 przed 17.2.1, w wyniku którego pewne ustawienia analityczne na poziomie projektu mogły wyciekać w DOM do członków grupy z Deweloperem lub wyższe role. |
| Numer CVE | CVE-2024-7057 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka umożliwiająca ujawnienie informacji w GitLab CE/EE dotycząca wszystkich wersji, począwszy od 16.7 przed 17.0.5, począwszy od 17.1 przed 17.1.3 i począwszy od 17.2 przed 17.2.1, gdzie artefakty pracy mogą być niewłaściwie ujawniane użytkownikom nieposiadającym adekwatny poziom autoryzacji. |
| Numer CVE | N/A |
| Krytyczność | 4.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 15.6 przed 17.0.5, począwszy od 17.1 przed 17.1.3 i zaczynając od 17.2 przed 17.2.1, gdzie możliwe było ujawnienie ograniczonych informacji o wyeksportowanym grupę lub projekt innemu użytkownikowi. |
| Numer CVE | CVE-2024-0231 |
| Krytyczność | 2.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
| Opis | Luka w GitLab CE/EE umożliwiająca błędne przekierowanie zasobów, występująca we wszystkich wersjach 12.0 przed 17.0.5, 17.1 przed 17.1.3 i 17.2 przed 17.2.1, umożliwia atakującemu spreparowanie importu repozytorium w taki sposób, aby błędnie przekierować zatwierdzenia. |
| Numer CVE | N/A |
| Krytyczność | 2.6/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N |
| Opis | Luka umożliwiająca ujawnienie informacji w GitLab CE/EE w eksporcie projektów/grup, wpływająca na wszystkie wersje od 15.4 przed 17.0.5, 17.1 przed 17.1.3 i 17.2 przed 17.2.1 umożliwia nieautoryzowanym użytkownikom przeglądanie wynikowego eksportu. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/07/24/patch-release-gitlab-17-2-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-249)
Powiązane
To "kara" za ewolucję. Tak ludzie płacą za inteligencję
12 godzin temu
