ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 0.1, 16.11.3 i 16.10.6
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.0.1, 16.11.3 i 16.10.6
Numer CVECVE-2024-4835
Krytyczność8,0/10
CVSSAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
OpisLuka wynika z niewystarczającego oczyszczenia danych dostarczonych przez użytkownika w edytorze kodu w witrynie gitlab.com. Osoba atakująca zdalnie może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny internetowej. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej zdalnie na kradzież potencjalnie wrażliwych informacji, zmianę wyglądu strony internetowej, przeprowadzenie ataków typu phishing i drive-by-download.
  
Numer CVECVE-2024-2874
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z niedostatecznej weryfikacji danych wprowadzonych przez użytkownika w polu „opis” modułu uruchamiającego. Zdalny użytkownik może przekazać specjalnie spreparowane dane wejściowe do aplikacji i przeprowadzić atak typu „odmowa usługi” (DoS).
  
Numer CVECVE-2023-7045
Krytyczność5,4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisLuka wynika z niewystarczającej weryfikacji źródła żądania HTTP w integracji klastra K8. Zdalny użytkownik może oszukać ofiarę, aby odwiedziła specjalnie spreparowaną stronę internetową i wykonała w jej imieniu dowolne działania na podatnej witrynie.
  
Numer CVEbrak
Krytyczność4,4/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisW GitLabie od wersji 16.10 do 16.10.6, 16.11 do 16.11.3 i 17.0 do 17.0.1 istnieje luka w zabezpieczeniach autoryzacji, która powoduje, że uwierzytelniona osoba atakująca może wykorzystać spreparowaną konwencję nazewnictwa w celu ominięcia logiki autoryzacji potoku.
  
Numer CVECVE-2023-6502
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w interfejsie API/stronie renderującej wiki. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-1947
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/D:L
OpisLuka wynika z nieprawidłowej kontroli zużycia zasobów wewnętrznych przez aplikację w ramach wywołań API test_report. Zdalny użytkownik może wywołać wyczerpanie zasobów i przeprowadzić atak typu „odmowa usługi” (DoS).
  
Numer CVEbrak
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisLuka wynika z nadmiernej ilości danych wysyłanych przez aplikację. Użytkownik zdalny może przeglądać listy zależności projektów prywatnych poprzez artefakty zadania.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/