GitLab publikuje aktualizacje dla swoich produktów. (P24-249)

cert.pse-online.pl 5 miesięcy temu
ProduktGitLab Community Edition (CE) – wersje starsze niż 17.2.1, 17.1.3, 17.0.5
GitLab Enterprise Edition (EE) – wersje starsze niż 17.2.1, 17.1.3, 17.0.5
Numer CVEN/A
Krytyczność7.7/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisW GitLab CE/EE istnieje luka w zabezpieczeniach związana z obsługą skryptów krzyżowych, wpływająca na wszystkie wersje od 16.6 przed 17.0.5, 17.1 przed 17.1.3, 17.2 przed 17.2.1, umożliwiająca atakującemu wykonanie dowolnych skryptów w kontekście aktualnie zalogowanego użytkownika.
Numer CVECVE-2024-5067
Krytyczność4.4/10
CVSSAV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
OpisW GitLab EE wykryto problem dotyczący wszystkich wersji, począwszy od 16.11 przed 17.0.5, 17.1 przed 17.1.3, 17.2 przed 17.2.1, w wyniku którego pewne ustawienia analityczne na poziomie projektu mogły wyciekać w DOM do członków grupy z Deweloperem lub wyższe role.
Numer CVECVE-2024-7057
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisLuka umożliwiająca ujawnienie informacji w GitLab CE/EE dotycząca wszystkich wersji, począwszy od 16.7 przed 17.0.5, począwszy od 17.1 przed 17.1.3 i począwszy od 17.2 przed 17.2.1, gdzie artefakty pracy mogą być niewłaściwie ujawniane użytkownikom nieposiadającym adekwatny poziom autoryzacji.
Numer CVEN/A
Krytyczność4.1/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji, począwszy od 15.6 przed 17.0.5, począwszy od 17.1 przed 17.1.3 i zaczynając od 17.2 przed 17.2.1, gdzie możliwe było ujawnienie ograniczonych informacji o wyeksportowanym grupę lub projekt innemu użytkownikowi.
Numer CVECVE-2024-0231
Krytyczność2.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
OpisLuka w GitLab CE/EE umożliwiająca błędne przekierowanie zasobów, występująca we wszystkich wersjach 12.0 przed 17.0.5, 17.1 przed 17.1.3 i 17.2 przed 17.2.1, umożliwia atakującemu spreparowanie importu repozytorium w taki sposób, aby błędnie przekierować zatwierdzenia.
Numer CVEN/A
Krytyczność2.6/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
OpisLuka umożliwiająca ujawnienie informacji w GitLab CE/EE w eksporcie projektów/grup, wpływająca na wszystkie wersje od 15.4 przed 17.0.5, 17.1 przed 17.1.3 i 17.2 przed 17.2.1 umożliwia nieautoryzowanym użytkownikom przeglądanie wynikowego eksportu.
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/07/24/patch-release-gitlab-17-2-1-released/
Idź do oryginalnego materiału