[TLP:CLEAR] GitLab CE a EE opravuje 2 zraniteľnosti
GitLab verziami 16.9.2, 16.8.4, 16.7.7 opravuje 2 zraniteľnosti v produkte GitLab Community Edition (CE) and Enterprise Edition (EE).
Autentizovanému vzdialenému útočníkovi je umožnené obísť kontrolu oprávnení a získať tak neoprávnený prístup k informáciám [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=11.3.0 AND <16.7.7) OR (>=16.8.0 AND <16.8.4) OR (>=16.9.0 AND <16.9.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2024-0199 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 3. 2024.
Autentizovanému vzdialenému útočníkovi s právami "manage_group_access_tokens" je umožnené vykonať eskaláciu privilégií [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=16.8.0 AND <16.8.4) OR (>=16.9.0 AND <16.9.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2024-1299 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 3. 2024.
Publikoval Martin Krajči dňa 11. 3. 2024.
