ProductGitlab Community Edition: 15.11.0 – 16.8.1
GitLab Enterprise Edition: 15.11.0 – 16.8.1
Numer CVECVE-2024-1250
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
OpisLuka wynika z niewłaściwych ograniczeń dostępu. Zdalny administrator może utworzyć tokeny dostępu grupowego z uprawnieniami właściciela i uzyskać podwyższone uprawnienia w systemie.
  
Numer CVECVE-2023-6840
Krytyczność6,7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H, 6,7
OpisLuka wynika z nieprawidłowych ograniczeń dostępu w ustawieniach block_branch_modification. Zdalny administrator może zmienić nazwę chronionej gałęzi, która omija politykę bezpieczeństwa dodaną w celu blokowania MR.
  
Numer CVECVE-2023-6386
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w edytorze CI/CD Pipeline podczas sprawdzania składni Pipeline. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-1066
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka istnieje, ponieważ aplikacja nie kontroluje prawidłowo zużycia zasobów wewnętrznych podczas korzystania z GraphQL „vulnerabilitiesCountByDay”. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS).
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/02/07/security-release-gitlab-16-8-2-released/