| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.6.2, 17.5.4 i 17.4.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.6.2, 17.5.4 i 17.4.6 |
| Numer CVE | CVE-2024-11274 |
| Krytyczność | 8.7/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji, począwszy od 16.1 przed 17.4.6, począwszy od 17.5 przed 17.5.4 i począwszy od 17.6 przed 17.6.2. Wstrzyknięcie nagłówków Network Error Logging (NEL) w odpowiedź serwera proxy Kubernetes mogło doprowadzić do wycieku danych sesji. |
| Numer CVE | CVE-2024-8233 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 9.4 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. Atakujący może spowodować odmowę usługi dzięki żądań plików diff w ramach żądania zatwierdzenia lub scalenia. |
| Numer CVE | N/A |
| Krytyczność | 6.7/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji począwszy od 13.7 przed 17.4.6, od 17.5 przed 17.5.4 i od 17.6 przed 17.6.2. Istnieje możliwość, iż atakujący dysponując CI_JOB_TOKEN ofiary uzyska dostęp do tokena sesji GitLab należącego do ofiary. |
| Numer CVE | CVE-2024-9387 |
| Krytyczność | 6.4/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 11.8 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. Atakujący może potencjalnie wykonać otwarte przekierowanie do określonego punktu końcowego interfejsu API wersji. |
| Numer CVE | CVE-2024-8647 |
| Krytyczność | 5.4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | W GitLabie odkryto problem dotyczący wszystkich wersji od 15.2 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. W instalacjach hostowanych samodzielnie istniało ryzyko wycieku tokena CSRF (cross-site request forgery) do witryny zewnętrznej, gdy włączona była integracja Harbor. |
| Numer CVE | CVE-2024-8179 |
| Krytyczność | 5.4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 17.3 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. Nieprawidłowe kodowanie danych wyjściowych może doprowadzić do ataku typu Cross Site Scripting (XSS), jeżeli zasady bezpieczeństwa treści (CSP) nie są włączone. |
| Numer CVE | CVE-2024-8116 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 16.9 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. Używając określonego zapytania GraphQL, w określonych warunkach nieautoryzowany użytkownik może pobrać nazwy gałęzi. |
| Numer CVE | CVE-2024-8650 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji od 15.0 przed 17.4.6, 17.5 przed 17.5.4 i 17.6 przed 17.6.2. Problem ten umożliwiał użytkownikom niebędącym członkami przeglądanie nierozwiązanych wątków oznaczonych jako notatki wewnętrzne w publicznych żądaniach scalenia projektów. |
| Numer CVE | CVE-2024-9367 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji począwszy od 13.9 przed wersją 17.4.6, 17.5 przed wersją 17.5.4 i 17.6 przed wersją 17.6.2. Problem ten umożliwia atakującemu spowodowanie niekontrolowanego zużycia zasobów, co może potencjalnie doprowadzić do sytuacji odmowy usługi (DoS) podczas analizowania szablonów w celu generowania dzienników zmian. |
| Numer CVE | CVE-2024-12292 |
| Krytyczność | 4.0/10 |
| CVSS | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Odkryto problem w GitLab CE/EE dotyczący wszystkich wersji począwszy od 11.0 przed wersją 17.4.6, począwszy od wersji 17.5 przed wersją 17.5.4 i począwszy od wersji 17.6 przed wersją 17.6.2, w wyniku którego poufne informacje przekazywane w mutacjach GraphQL mogły zostać zachowane w dziennikach GraphQL. |
| Numer CVE | CVE-2024-10043 |
| Krytyczność | 3.1/10 |
| CVSS | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Odkryto problem w GitLab EE dotyczący wszystkich wersji od 14.3 przed 17.4.6, wszystkich wersji od 17.5 przed 17.5.4, wszystkich wersji od 17.6 przed 17.6.2. Problem ten umożliwia użytkownikom grupy przeglądanie poufnych tytułów incydentów dzięki funkcji różnic w historii Wiki, co potencjalnie może prowadzić do ujawnienia informacji. |
| Numer CVE | CVE-2024-9633 |
| Krytyczność | 3.1/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Opis | Odkryto problem w GitLab CE/EE, który dotyczy wszystkich wersji od 16.3 przed wersją 17.4.2, wszystkich wersji od 17.5 przed wersją 17.5.4, wszystkich wersji od 17.6 przed wersją 17.6.2. Problem ten umożliwia atakującemu utworzenie grupy o nazwie odpowiadającej istniejącej, unikatowej domenie Pages, co potencjalnie może prowadzić do ataków polegających na pomyleniu domeny. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/12/11/patch-release-gitlab-17-6-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-415)
Powiązane
Od czego robi się guz na oponie?
3 dni temu