| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.9.2, 16.8.4 i 16.7.7 |
| Numer CVE | CVE-2024-0199 |
| Krytyczność | 7,7/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
| Opis | W GitLab wykryto lukę umożliwiającą obejście autoryzacji, wpływającą na wersje 11.3 przed 16.7.7, 16.7.6 przed 16.8.4 i 16.8.3 przed 16.9.2. Osoba atakująca może ominąć CODEOWNERS, wykorzystując spreparowany ładunek w starej gałęzi funkcji do wykonywania złośliwych działań. |
| Numer CVE | CVE-2024-1299 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
| Opis | W GitLab wykryto lukę w zabezpieczeniach związaną z eskalacją uprawnień, występującą w wersjach 16.8 wcześniejszych niż 16.8.4 i 16.9 wcześniejszych niż 16.9.2. Użytkownik z niestandardową rolą Manage_group_access_tokens mógł obracać tokeny dostępu grupy z uprawnieniami właściciela. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-075)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny