| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 0.1, 16.11.3 i 16.10.6 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.0.1, 16.11.3 i 16.10.6 |
| Numer CVE | CVE-2024-4835 |
| Krytyczność | 8,0/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
| Opis | Luka wynika z niewystarczającego oczyszczenia danych dostarczonych przez użytkownika w edytorze kodu w witrynie gitlab.com. Osoba atakująca zdalnie może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny internetowej. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej zdalnie na kradzież potencjalnie wrażliwych informacji, zmianę wyglądu strony internetowej, przeprowadzenie ataków typu phishing i drive-by-download. |
| Numer CVE | CVE-2024-2874 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika w polu „opis” modułu uruchamiającego. Zdalny użytkownik może przekazać specjalnie spreparowane dane wejściowe do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | CVE-2023-7045 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka wynika z niewystarczającej weryfikacji źródła żądania HTTP w integracji klastra K8. Zdalny użytkownik może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową i wykonała w jej imieniu dowolne działania na podatnej witrynie. |
| Numer CVE | brak |
| Krytyczność | 4,4/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | W GitLabie od wersji 16.10 do 16.10.6, 16.11 do 16.11.3 i 17.0 do 17.0.1 istnieje luka w zabezpieczeniach autoryzacji, która powoduje, że uwierzytelniona osoba atakująca może wykorzystać spreparowaną konwencję nazewnictwa w celu ominięcia logiki autoryzacji potoku. |
| Numer CVE | CVE-2023-6502 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L |
| Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w interfejsie API/stronie renderującej wiki. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos). |
| Numer CVE | CVE-2024-1947 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L |
| Opis | Luka wynika z nieprawidłowej kontroli zużycia zasobów wewnętrznych przez aplikację w ramach wywołań API test_report. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS). |
| Numer CVE | brak |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka wynika z nadmiernej ilości danych wysyłanych przez aplikację. Użytkownik zdalny może przeglądać listy zależności projektów prywatnych poprzez artefakty zadania. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-179)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny