[TLP:CLEAR] GitLab CE a EE opravuje 11 zraniteľností
GitLab verziami 17.2.2, 17.1.4 a 17.0.6 opravuje 11 stredne závažných zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE). Najzávažnejšie zraniteľnosti sú uvedené nižšie, zvyšné je možné nájsť na [1].
Autentizovanému vzdialenému útočníkovi je umožnené pristupovať k citlivým údajom z logových súborov [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.0 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
Viac informácií:
- CVE-2024-7586 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vydávať repozitár s potenciálne škodlivým kódom za legitimný repozitár [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (<17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Viac informácií:
- CVE-2024-3958 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať ReDoS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=11.3 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-2800. at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok pomocou špeciálne vytvorených súborov typu ADOC [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=12.6 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-4210 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok pomocou nástroja "banzai pipeline" [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=1.0 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-5423 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené pristupovať k cudzím projektom pomocou bota pre bezpečnostné politiky [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.0 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2024-6356 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené pomocou LFS tokenov čítať a zapisovať do repozitárov ostatných používateľov [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=8.12 AND <17.0.6) OR (>=17.1 AND <17.1.4) OR (>=17.2 AND <17.2.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2024-3035 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 8. 2024.
Publikoval Martin Krajči dňa 9. 8. 2024.
