| Produkt | Gitlab Community Edition: 8.16.0 – 17.2.1 GitLab Enterprise Edition: 8.16.0 – 17.2.1 |
| Numer CVE | CVE-2024-6329 |
| Krytyczność | 5.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowego kodowania ścieżki. Zdalny użytkownik może spowodować, iż interfejs sieciowy nie będzie w stanie poprawnie renderować diffa, gdy ścieżka jest zakodowana. |
| Numer CVE | CVE-2024-7586 |
| Krytyczność | 3.6/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C] |
| Opis | Luka występuje z powodu dziennika audytu usuwania webhook, który może zachować poświadczenia uwierzytelniania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
| Numer CVE | CVE-2024-3114 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
| Numer CVE | CVE-2024-4784 |
| Krytyczność | 3.7/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki. |
| Numer CVE | CVE-2024-3114 |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
| Numer CVE | CVE-2024-4784 |
| Krytyczność | 3.7/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki. |
| Numer CVE | CVE-2024-2800 |
| Krytyczność | 5.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych w RefMatcher podczas dopasowywania nazw gałęzi przy użyciu symboli wieloznacznych. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z wykorzystaniem wyrażeń regularnych. |
| Numer CVE | CVE-2024-4210 |
| Krytyczność | 5.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Zdalny użytkownik może użyć specjalnie spreparowanych plików adoc i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2024-5423 |
| Krytyczność | 5.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w ramach potoku Banzai. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu DoS (odmowa usługi). |
| Numer CVE | CVE-2024-6356 |
| Krytyczność | 3.9/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje, ponieważ dostęp międzyprojektowy bota zasad bezpieczeństwa jest niemożliwy. Zdalny użytkownik może ominąć wdrożone ograniczenia bezpieczeństwa i uzyskać nieautoryzowany dostęp do aplikacji. |
| Numer CVE | CVE-2024-3035 |
| Krytyczność | 5.9/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu tokenów LFS przyznających nieograniczony dostęp do repozytorium, co prowadzi do obejścia ograniczeń bezpieczeństwa i eskalacji uprawnień. |
| Numer CVE | N/A |
| Krytyczność | 3.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w wyróżnieniu wyników kodu. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z użyciem wyrażeń regularnych. |
| Numer CVE | N/A |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
| Opis | Luka istnieje z powodu dzienników ujawniających potencjalnie poufne dane w parametrach zapytania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
| Aktualizacja | TAK |
| Link | http://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-264)
Powiązane
Eskalacja uprawnień – CVE-2024-37726
3 dni temu
The impact of western sanctions on Belarus
1 tydzień temu
