[TLP:CLEAR] GitLab CE a EE opravuje 4 zraniteľnosti

GitLab verziami 17.7.1, 17.6.3 a 17.5.5 opravuje 4 zraniteľnosti v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1].

GitLab - access token leak (CVE-2025-0194) CVSS 6.5 (Medium)

Autentizovanému vzdialenému útočníkovi s prístupom do logov je potenciálne umožnené zobrazovať prístupové tokeny [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 1. 2025.

GitLab - DoS (CVE-2024-6324) CVSS 4.3 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.7 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 1. 2025.

GitLab - unauthorized change (CVE-2024-12431) CVSS 4.3 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť status nahlásených problémov vo verejných projektoch [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 1. 2025.

GitLab - unauthorized access (CVE-2024-13041) CVSS 4.2 (Medium)

Autentizovanému vzdialenému útočníkovi s právami externého používateľa je za určitých okolností umožnené neoprávnene pristupovať k interným projektom [1].

Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 1. 2025.


Za CESNET-CERTS Martin Krajči dňa 9. 1. 2025.

CESNET CERTS Logo