[TLP:CLEAR] GitLab CE/EE opravuje 3 zraniteľnosti
GitLab verziami 17.11.2, 17.10.6 a 17.9.8 opravuje 3 zraniteľnosti v produktoch GitLab Community Edition (CE) a Enterprise Edition (EE) [1].
Neautentizovanému vzdialenému útočníkovi je za určitých podmienok umožnené obísť ochranu Device OAuth a získať neoprávnený prístup k údajom a funkciám určeným pre iného používateľa.[1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.3 AND <17.9.8) OR (>=17.10 AND <17.10.6) OR (>=17.11 AND <17.11.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-0549 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 5. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených požiadaviek na import [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=17.1 AND <17.9.8) OR (>=17.10 AND <17.10.6) OR (>=17.11 AND <17.11.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-8973 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 5. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť reštrikcie IP adries a získať tak prístup k potenciálne citlivým informáciám [1].
Zraniteľnosť sa nachádza v produkte GitLab vo verziách (>=12.0 AND <17.9.8) OR (>=17.10 AND <17.10.6) OR (>=17.11 AND <17.11.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2025-1278 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1220: Insufficient Granularity of Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 5. 2025.
Za CESNET-CERTS Martin Krajči dňa 12. 5. 2025.
