ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 16.11.1, 16.10.4, 16.9.6
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.11.1, 16.10.4, 16.9.6
Numer CVECVE-2024-4024
Krytyczność7,3/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
OpisLuka wynika z niewłaściwych ograniczeń dostępu. Zdalny użytkownik posiadający dane uwierzytelniające do konta Bitbucket może przejąć konto GitLab połączone z kontem Bitbucket innego użytkownika, jeśli Bitbucket jest używany jako dostawca OAuth 2.0 w GitLab.
  
Numer CVECVE-2024-2829
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych w FileFinder podczas korzystania z filtrów wieloznacznych podczas wyszukiwania plików projektu. Osoba atakująca zdalnie może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-4006
Krytyczność4,3/10
CVSSAV:Nie dotyczy:L/PR:L/UI:N/S:U/C:L/I:Nie dotyczy:N
OpisLuka istnieje, ponieważ zakresy tokenów dostępu osobistego nie są honorowane przez subskrypcje GraphQL. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
  
Numer CVECVE-2024-1347
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisLuka wynika z niewłaściwych ograniczeń dostępu. Zdalny użytkownik może użyć specjalnie spreparowanego adresu e-mail i ominąć ograniczenia oparte na domenie nałożone na instancję lub grupę.
  
Numer CVECVE-2024-2434
Krytyczność8,5/10
CVSSAV:Nie dotyczy:L/PR:L/UI:N/S:C/C:L/I:Nie dotyczy:H
OpisLuka wynika z błędu sprawdzania poprawności danych wejściowych podczas przetwarzania sekwencji przeglądania katalogów. Zdalny użytkownik może wysłać specjalnie spreparowane żądanie HTTP i odczytać dowolne pliki w systemie, co może prowadzić do ataku typu „odmowa usługi” (DoS).
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/04/24/patch-release-gitlab-16-11-1-released/