GitLab publikuje aktualizacje dla swoich produktów. (P24-264)

cert.pse-online.pl 4 miesięcy temu
ProduktGitlab Community Edition: 8.16.0 – 17.2.1
GitLab Enterprise Edition: 8.16.0 – 17.2.1
Numer CVECVE-2024-6329
Krytyczność5.0/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowego kodowania ścieżki. Zdalny użytkownik może spowodować, iż interfejs sieciowy nie będzie w stanie poprawnie renderować diffa, gdy ścieżka jest zakodowana.
Numer CVECVE-2024-7586
Krytyczność3.6/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N/E:U/RL:O/RC:C]
OpisLuka występuje z powodu dziennika audytu usuwania webhook, który może zachować poświadczenia uwierzytelniania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
Numer CVECVE-2024-3114
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos).
Numer CVECVE-2024-4784
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki.
Numer CVECVE-2024-3114
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w ramach parsowania git push. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i wykonać atak typu „odmowa usługi” dzięki wyrażeń regularnych (ReDos).
Numer CVECVE-2024-4784
Krytyczność3.7/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu nieprawidłowych ograniczeń dostępu. Zdalny użytkownik może ominąć wymóg ponownego wprowadzenia hasła w celu zatwierdzenia polityki.
Numer CVECVE-2024-2800
Krytyczność5.7/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych w RefMatcher podczas dopasowywania nazw gałęzi przy użyciu symboli wieloznacznych. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z wykorzystaniem wyrażeń regularnych.
Numer CVECVE-2024-4210
Krytyczność5.7/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych dostarczonych przez użytkownika. Zdalny użytkownik może użyć specjalnie spreparowanych plików adoc i przeprowadzić atak typu „odmowa usługi” (DoS).
Numer CVECVE-2024-5423
Krytyczność5.7/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
OpisLuka występuje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych w ramach potoku Banzai. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu DoS (odmowa usługi).
Numer CVECVE-2024-6356
Krytyczność3.9/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka występuje, ponieważ dostęp międzyprojektowy bota zasad bezpieczeństwa jest niemożliwy. Zdalny użytkownik może ominąć wdrożone ograniczenia bezpieczeństwa i uzyskać nieautoryzowany dostęp do aplikacji.
Numer CVECVE-2024-3035
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
OpisLuka występuje z powodu tokenów LFS przyznających nieograniczony dostęp do repozytorium, co prowadzi do obejścia ograniczeń bezpieczeństwa i eskalacji uprawnień.
Numer CVEN/A
Krytyczność3.8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
OpisLuka występuje z powodu niewystarczającej walidacji danych wejściowych podczas przetwarzania wyrażeń regularnych w wyróżnieniu wyników kodu. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” (ReDos) z użyciem wyrażeń regularnych.
Numer CVEN/A
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu dzienników ujawniających potencjalnie poufne dane w parametrach zapytania. Zdalny administrator może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
AktualizacjaTAK
Linkhttp://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/
Idź do oryginalnego materiału