[TLP:CLEAR] GitLab verzemi 16.11.1, 16.10.4 a 16.9.6 opravuje 5 zranitelností
GitLab Community Edition (CE) a Enterprise Edition (EE) verzemi 16.11.1, 16.10.4 a 16.9.6 opravují 5 zranitelností [1].
Autentizovanému vzdálenému útočníkovi je umožněno přistoupit k datům mimo omezení přístupového tokenu [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.7.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
- GitLab Enterprise Edition ve verzích (>=16.7.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2024-4006 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 4. 2024.
Autentizovanému vzdálenému útočníkovi je prostřednictvím procházení cest umožněno omezené čtení souborů a vykonání DoS útoku [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.9.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
- GitLab Enterprise Edition ve verzích (>=16.9.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:H
Více informací:
- CVE-2024-2434 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 4. 2024.
Neautentizovanému vzdálenému útočníkovi je pomocí vytvořeného filtru zástupných znaků v nástroji FileFinder umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=12.5.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
- GitLab Enterprise Edition ve verzích (>=12.5.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-2829 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 4. 2024.
Autentizovanému vzdálenému útočníkovi je pomocí škodlivě vytvořené e-mailové adresy umožněno obejít omezení instance nebo skupiny na základě domény [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (<16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
- GitLab Enterprise Edition ve verzích (<16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-1347 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 4. 2024.
Autentizovanému vzdálenému útočníkovi s přihlašovacími údaji k účtu Bitbucket je umožněno převzít účet GitLab propojený s účtem Bitbucket jiného uživatele, pokud je Bitbucket na GitLabu používán jako poskytovatel OAuth 2.0 [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=7.8.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
- GitLab Enterprise Edition ve verzích (>=7.8.0 AND <16.9.6) OR (>=16.10.0 AND <16.10.4) OR (>=16.11.0 AND <16.11.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-4024 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 24. 4. 2024.
Publikovala Michaela Mačalíková dne 2. 5. 2024.
