Produkt | Gitlab Community Edition: 8.16.0 – 17.2.1 GitLab Enterprise Edition: 8.16.0 – 17.2.1 |
Numer CVE | CVE-2024-6329 |
Krytyczność | 5.0/10 |
CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu nieprawidłowego kodowania ścieżki. Zdalny użytkownik może spowodować, iż interfejs sieciowy nie będzie w stanie poprawnie renderować diffa, gdy ścieżka jest zakodowana. |
Numer CVE | CVE-2024-7586 |
Krytyczność | 3.6/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C] |
Opis | Luka występuje z powodu dziennika audytu usuwania webhook, który może zachować poświadczenia uwierzytelniania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
Numer CVE | CVE-2024-3114 |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-4784 |
Krytyczność | 3.7/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki. |
Numer CVE | CVE-2024-3114 |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-4784 |
Krytyczność | 3.7/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki. |
Numer CVE | CVE-2024-2800 |
Krytyczność | 5.7/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych w RefMatcher podczas dopasowywania nazw gałęzi przy użyciu symboli wieloznacznych. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z wykorzystaniem wyrażeń regularnych. |
Numer CVE | CVE-2024-4210 |
Krytyczność | 5.7/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Zdalny użytkownik może użyć specjalnie spreparowanych plików adoc i przeprowadzić atak typu „odmowa usługi” (DoS). |
Numer CVE | CVE-2024-5423 |
Krytyczność | 5.7/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C |
Opis | Luka występuje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w ramach potoku Banzai. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu DoS (odmowa usługi). |
Numer CVE | CVE-2024-6356 |
Krytyczność | 3.9/10 |
CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C |
Opis | Luka występuje, ponieważ dostęp międzyprojektowy bota zasad bezpieczeństwa jest niemożliwy. Zdalny użytkownik może ominąć wdrożone ograniczenia bezpieczeństwa i uzyskać nieautoryzowany dostęp do aplikacji. |
Numer CVE | CVE-2024-3035 |
Krytyczność | 5.9/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu tokenów LFS przyznających nieograniczony dostęp do repozytorium, co prowadzi do obejścia ograniczeń bezpieczeństwa i eskalacji uprawnień. |
Numer CVE | N/A |
Krytyczność | 3.8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C |
Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w wyróżnieniu wyników kodu. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z użyciem wyrażeń regularnych. |
Numer CVE | N/A |
Krytyczność | 4.3/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
Opis | Luka istnieje z powodu dzienników ujawniających potencjalnie poufne dane w parametrach zapytania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie. |
Aktualizacja | TAK |
Link | http://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/ |