GitLab CE/EE opravuje 6 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

[TLP:CLEAR] GitLab CE/EE opravuje 6 zraniteľností

GitLab verziami 17.5.2, 17.4.4 a 17.3.7 opravuje 6 zraniteľností v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1]. Najzávažnejšie zraniteľnosti sú uvedené nižšie.

GitLab CE/EE - unauthorized Kubernetes access (CVE-2024-9693) CVSS 8.5 (High)

Autentizovanému vzdialenému útočníkovi je v určitej konfigurácii GitLab CE/EE umožnené neoprávnene pristupovať do Kubernetes agenta v klastri [1][2].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16 AND <17.3.7) OR (>=7.4 AND <17.4.4) OR (>=17.5 AND <17.5.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

Viac informácií:

CVE-2024-9693 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-863: Incorrect Authorization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 13. 11. 2024.

GitLab CE/EE - unauthorized API access (CVE-2024-7404) CVSS 6.8 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené pomocou Device OAuth flow komponenty získať prístup k API s právami obete útoku [1][3].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.2 AND <17.3.7) OR (>=7.4 AND <17.4.4) OR (>=17.5 AND <17.5.2).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

Viac informácií:

CVE-2024-7404 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1021: Improper Restriction of Rendered UI Layers or Frames at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 13. 11. 2024.

GitLab CE/EE - DoS CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok importovaním špeciálne vytvoreného súboru pomocou komponenty Fogbugz [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=7.4.1 AND <17.3.7) OR (>=7.4 AND <17.4.4) OR (>=17.5 AND <17.5.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CWE-703: Improper Check or Handling of Exceptional Conditions at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 13. 11. 2024.

GitLab CE/EE - XSS (CVE-2024-8648) CVSS 6.1 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok pomocou časti webu s analytickými nástenkami [1][4].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16 AND <17.3.7) OR (>=7.4 AND <17.4.4) OR (>=17.5 AND <17.5.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Viac informácií:

CVE-2024-8648 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 13. 11. 2024.

Odkazy

Publikoval Martin Krajči dňa 19. 11. 2024.

Zpětná vazba k reportu

[TLP:CLEAR] GitLab CE/EE opravuje 6 zraniteľností

GitLab CE/EE - unauthorized Kubernetes access (CVE-2024-9693) CVSS 8.5 (High)

GitLab CE/EE - unauthorized API access (CVE-2024-7404) CVSS 6.8 (Medium)

GitLab CE/EE - DoS CVSS 6.5 (Medium)

GitLab CE/EE - XSS (CVE-2024-8648) CVSS 6.1 (Medium)

Odkazy