[TLP:CLEAR] GitLab verzemi 16.10.2, 16.9.4 a 16.8.6 opravuje 4 zranitelnosti

GitLab Community Edition (CE) a Enterprise Edition (EE) verzemi 16.10.2, 16.9.4 a 16.8.6 opravuje 4 zranitelnosti [1].

GitLab - XSS (CVE-2024-2279) CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi je umožněno využít funkci automatického doplňování odkazů k vytvoření škodlivého payloadu, což může vést k XSS útoku [1].

Zranitelnost se nachází v produktu GitLab ve verzích (>=16.7.0 AND <16.8.6) OR (>=16.9.0 AND <16.9.4) OR (>=16.10.0 AND <16.10.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 10. 4. 2024.

GitLab - XSS (CVE-2024-3092) CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi je umožněno vytvořit payload, který může vést k XSS útoku při použití nástroje pro zobrazení rozdílů v kódu [1].

Zranitelnost se nachází v produktu GitLab ve verzích (>=16.9.0 AND <16.9.4) OR (>=16.10.0 AND <16.10.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 10. 4. 2024.

GitLab - DoS (CVE-2023-6678) CVSS 4.3 (Medium)

Autentizovanému vzdálenému útočníkovi je pomocí škodlivě vytvořeného obsahu v souboru s junit testovacím protokolem umožněno vykonat DoS útok [1].

Zranitelnost se nachází v produktu GitLab ve verzích (<16.8.6) OR (>=16.9.0 AND <16.9.4) OR (>=16.10.0 AND <16.10.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Více informací:

Zranitelnost byla veřejně oznámena 10. 4. 2024.

GitLab - DoS (CVE-2023-6489) CVSS 4.3 (Medium)

Autentizovanému vzdálenému útočníkovi je umožněno zvýšit využití prostředků instance GitLab pomocí funkce integrace chatu, což vede k odepření služby [1].

Zranitelnost se nachází v produktu GitLab ve verzích (>=16.7.7 AND <16.8.6) OR (>=16.9.0 AND <16.9.4) OR (>=16.10.0 AND <16.10.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Více informací:

Zranitelnost byla veřejně oznámena 10. 4. 2024.

Publikovala Michaela Mačalíková dne 12. 4. 2024.

CESNET CERTS Logo