[TLP:CLEAR] GitLab CE a EE opravuje 4 zraniteľnosti
GitLab verziami 17.7.1, 17.6.3 a 17.5.5 opravuje 4 zraniteľnosti v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1].
Autentizovanému vzdialenému útočníkovi s prístupom do logov je potenciálne umožnené zobrazovať prístupové tokeny [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-0194 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-538: Insertion of Sensitive Information into Externally-Accessible File or Directory at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=15.7 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2024-6324 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-407: Inefficient Algorithmic Complexity at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť status nahlásených problémov vo verejných projektoch [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Viac informácií:
- CVE-2024-12431 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Autentizovanému vzdialenému útočníkovi s právami externého používateľa je za určitých okolností umožnené neoprávnene pristupovať k interným projektom [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.4 AND <17.5.5) OR (>=17.6 AND <17.6.3) OR (>=17.7 AND <17.7.1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Viac informácií:
- CVE-2024-13041 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-286: Incorrect User Management at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 1. 2025.
Za CESNET-CERTS Martin Krajči dňa 9. 1. 2025.