Autentizovanému vzdálenému útočníkovi je za určitých okolností umožněno spustit pipeline jako jiný uživatel [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=15.8.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GiLab Enterprise Edition ve verzích (>=15.8.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Více informací:

• CVE-2024-6385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním admin_compliance_framework je umožněno upravit adresu URL pro obor názvů skupiny [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GiLab Enterprise Edition ve verzích (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N

Více informací:

• CVE-2024-5257 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním admin_push_rules je umožněno vytvářet deploy tokeny na úrovni projektu [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GitLab Enterprise Edition ve verzích (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N

Více informací:

• CVE-2024-5470 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.

Autentizovanému vzdálenému útočníkovi je umožněno nahrát NPM balíček s "konfliktními" daty [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=11.8.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GitLab Enterprise Edition ve verzích (>=11.8.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N

Více informací:

• CVE-2024-6595 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním admin_group_member je umožněno zablokovat členy skupiny [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (>=16.5.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GitLab Enterprise Edition ve verzích (>=16.5.0 AND <16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

Více informací:

• CVE-2024-2880 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.

Autentizovanému vzdálenému útočníkovi je umožněno převzetí subdomény v aplikaci GitLab Pages [1].

Zranitelnost se nachází v produktech:

• GitLab Community Edition ve verzích (<16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)
• GitLab Enterprise Edition ve verzích (<16.11.6) OR (>=17.0.0 AND <17.0.4) OR (>=17.1.0 AND <17.1.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Více informací:

• CVE-2024-5528 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 10. 7. 2024.