[TLP:CLEAR] GitLab CE a EE opravuje 6 zranitelností
GitLab verzemi 17.6.1, 17.5.3 a 17.4.5 opravuje 6 zranitelností v produktech GitLab Community Edition (CE) a Enterprise Edition (EE) [1].
Autentizovanému vzdálenému útočníkovi s přístupem k osobnímu přístupovému tokenu (PAT) oběti je umožněno zvýšit svá oprávnění [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=8.12 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=8.12 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
Více informací:
- CVE-2024-8114 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi je pomocí škodlivého souboru cargo.toml umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=12.6 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=12.6 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-8237 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-407: Inefficient Algorithmic Complexity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi je umožněn přístup k citlivým údajům kvůli příliš širokému použití rozsahu tokenu [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.9.8 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=16.9.8 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-11669 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi je prostřednictvím integrace škodlivého harbor registru umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=15.6 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=15.6 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-8177 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-407: Inefficient Algorithmic Complexity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi je odesláním podvržených volání API umožněno vyvolat stav DoS [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=13.2.4 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=13.2.4 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Více informací:
- CVE-2024-11828 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-407: Inefficient Algorithmic Complexity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno obejít kontroly ověřování a neoprávněně přistoupit k výsledkům streamování [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.11 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
- GitLab Enterprise Edition ve verzích (>=16.11 AND <17.4.5) OR (>=17.5 AND <17.5.3) OR (>=17.6 AND <17.6.1)
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Více informací:
- CVE-2024-11668 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-613: Insufficient Session Expiration at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 11. 2024.
Publikovala Michaela Jarošová dne 3. 12. 2024.
