GitLab CE a EE opravuje 5 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

[TLP:CLEAR] GitLab CE a EE opravuje 5 zraniteľností

GitLab verziami 17.0.2, 16.11.4 a 16.10.7 opravuje 5 zraniteľností v produktoch GitLab Community Edition (CE) and Enterprise Edition (EE) [1].

GitLab - DoS (CVE-2024-5469) CVSS 3.1 (Low)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok na službu prepájajúcu GitLab s Kubernetes zasielaním špeciálne vytvorených gRPC požiadaviek [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.10 AND <16.10.6) OR (>=16.11 AND <16.11.3)

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

CVE-2024-5469 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 12. 6. 2024.

GitLab - XSS (CVE-2024-4201) CVSS 4.4 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok, pokiaľ si obeť útoku zobrazí XML súbor nahratý do repozitára pomocou "raw" módu [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=5.1 AND <16.10.7) OR (>=16.11 AND <16.11.4) OR (>=17.0 AND <17.0.2)

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N

Viac informácií:

CVE-2024-4201 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 12. 6. 2024.

GitLab - ReDoS (CVE-2024-1963) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať ReDoS útok zaslaním špeciálne vytvorenej požiadavky [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=8.4 AND <16.10.7) OR (>=16.11 AND <16.11.4) OR (>=17.0 AND <17.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2024-1963 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 12. 6. 2024.

GitLab - ReDoS (CVE-2024-1736) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať ReDoS útok pomocou špeciálne vytvoreného konfiguračného súboru [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<16.10.7) OR (>=16.11 AND <16.11.4) OR (>=17.0 AND <17.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2024-1736 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 12. 6. 2024.

GitLab - ReDoS (CVE-2024-1495) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať ReDoS útok pomocou špeciálne vytvoreného súboru [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=13.1 AND <16.10.7) OR (>=16.11 AND <16.11.4) OR (>=17.0 AND <17.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2024-1495 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 12. 6. 2024.

Odkazy

[1] https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/

Publikoval Martin Krajči dňa 13. 6. 2024.

Zpětná vazba k reportu

[TLP:CLEAR] GitLab CE a EE opravuje 5 zraniteľností

GitLab - DoS (CVE-2024-5469) CVSS 3.1 (Low)

GitLab - XSS (CVE-2024-4201) CVSS 4.4 (Medium)

GitLab - ReDoS (CVE-2024-1963) CVSS 6.5 (Medium)

GitLab - ReDoS (CVE-2024-1736) CVSS 6.5 (Medium)

GitLab - ReDoS (CVE-2024-1495) CVSS 6.5 (Medium)

Odkazy