1. GitLab
Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1 |
Numer CVE | CVE-2024-8114 |
Krytyczność | 8.2/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Opis | Problem ten umożliwia atakującemu, który ma dostęp do osobistego tokena dostępu (PAT) ofiary, podniesienie uprawnień. |
Numer CVE | CVE-2024-8237 |
Krytyczność | 6.5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Odkryto problem Denial of Service (DoS) w GitLab CE. Atakujący może spowodować odmowę usługi za pomocą spreparowanego pliku cargo.toml. |
Numer CVE | CVE-2024-11669 |
Krytyczność | 6.5/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Opis | Niektóre punkty końcowe interfejsu API mogą potencjalnie umożliwiać nieautoryzowany dostęp do poufnych danych ze względu na zbyt szerokie zastosowanie zakresów tokenów. |
Numer CVE | CVE-2024-8177 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Odkryto problem w GitLab CE/EE, który może spowodować odmowę usługi poprzez integrację złośliwego rejestru portów. |
Numer CVE | CVE-2024-11828 |
Krytyczność | 4.3/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Opis | Odkryto stan odmowy usługi (DoS) w GitLab CE. Wykorzystując tę lukę, atakujący może stworzyć stan DoS, wysyłając spreparowane wywołania API |
Numer CVE | CVE-2024-11668 |
Krytyczność | 4.2/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
Opis | Odkryto problem w GitLab CE/EE. Długotrwałe połączenia mogą potencjalnie ominąć kontrolę uwierzytelniania, umożliwiając nieautoryzowany dostęp do wyników przesyłania strumieniowego. |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/#privilege-escalation-via-lfs-tokens |