[TLP:CLEAR] GitLab CE a EE opravuje 6 zraniteľností
GitLab verziami 17.2.1, 17.1.3 a 17.0.5 opravuje 6 zraniteľností v produktoch GitLab Community Edition (CE) and Enterprise Edition (EE) [1].
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.4 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
Viac informácií:
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené ovplyvniť zápis commitov [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=12.0 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Viac informácií:
- CVE-2024-0231 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-99: Improper Control of Resource Identifiers ('Resource Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k obmedzenému množstvu informácií [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=12:0 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
Viac informácií:
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k výstupom úloh (jobs artifacts) [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.7 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2024-7057 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Autentizovanému vzdialenému útočníkovi s právami vývojára je umožnené pristupovať k informáciám týkajúcich sa niektorých nastavení [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.11 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-5067 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.6 AND <17.0.5) OR (>=17.1 AND <17.1.3) OR (>=17.2 AND <17.2.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 7. 2024.
Publikoval Martin Krajči dňa 25. 7. 2024.
