[TLP:CLEAR] GitLab verzemi 17.1.1, 17.0.3 a 16.11.5 opravuje 14 zranitelností
GitLab verzemi 17.1.1, 17.0.3 a 16.11.5 opravuje 14 zranitelností, z toho 1 kritickou a 3 vysoce závažné, v produktech GitLab Community Edition (CE) a Enterprise Edition (EE). Nejzávažnější zranitelnosti jsou popsány níže, další můžete nalézt na [1].
Autentizovanému vzdálenému útočníkovi je za určitých okolností umožněno spuštění pipeline jako jiný uživatel [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=15.8.0 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
- GitLab Enterprise Edition ve verzích (>=15.8.0 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Více informací:
- CVE-2024-5655 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno vykonat XSS útok [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.9.0 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
- GitLab Enterprise Edition ve verzích (>=16.9.0 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2024-4901 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno vykonat CSRF útok na GraphQL API, což může vést ke spuštění libovolných mutací GraphQL [1].
Zranitelnost se nachází v produktech:
- GitLab Community Edition ve verzích (>=16.0.1 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
- GitLab Community Edition ve verzích (>=16.0.1 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-4994 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné autorizaci v globálním vyhledávání umožněno odhalit obsah soukromého repozitáře ve veřejném projektu [1].
Zranitelnost se nachází v produktu GitLab Enterprise Edition ve verzích (>=16.11.0 AND <16.11.5) OR (>=17.0.0 AND <17.0.3) OR (>=17.1.0 AND <17.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-6323 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-653: Improper Isolation or Compartmentalization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 6. 2024.
Publikovala Michaela Mačalíková dne 27. 6. 2024.
