[TLP:CLEAR] GitLab CE a EE opravuje 2 zranitelnosti
GitLab verzemi 17.5.1, 17.4.3 a 17.3.6 opravuje 2 zranitelnosti v produktech GitLab Community Edition (CE) a Enterprise Edition (EE) [1].
Autentizovanému vzdálenému útočníkovi je umožněno vykonat XSS útok [2].
Zranitelnost se nachází v produktu GitLab ve verzích (>=15.10 AND <17.3.6) OR (>=17.4 AND <17.4.3) OR (>=17.5 AND <17.5.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2024-8312 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 10. 2024.
Autentizovanému vzdálenému útočníkovi je skrze nahrání speciálně vytvořeného XML manifest souboru umožněno vykonat DoS útok [3].
Zranitelnost se nachází v produktu GitLab ve verzích (>=11.2 AND <17.3.6) OR (>=17.4 AND <17.4.3) OR (>=17.5 AND <17.5.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-6826 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 10. 2024.
Odkazy
Publikovala Michaela Ručková dne 29. 10. 2024.
