Produkt | Gitlab Community Edition: 0.1.5 – 17.0.1 GitLab Enterprise Edition: 6.2.0 – 17.0.1 |
Numer CVE | CVE-2024-4201 |
Krytyczność | 4.4/10 |
CVSS | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N |
Opis | Luka wynika z niewystarczającego oczyszczenia danych dostarczonych przez użytkownika podczas przeglądania nieprzetworzonych plików XHTML na urządzeniach z systemem iOS. Zdalny użytkownik może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny internetowej. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej zdalnie na kradzież potencjalnie wrażliwych informacji, zmianę wyglądu strony internetowej, przeprowadzenie ataków typu phishing i drive-by-download |
Numer CVE | CVE-2024-1495 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w linkerze zależności gomod. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-1736 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w interpolacji CI. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-1963 |
Krytyczność | 6,5/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Opis | Luka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w mapowaniu problemów z integracją Asany po wywołaniu elementu webhook. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos). |
Numer CVE | CVE-2024-5469 |
Krytyczność | 3,1/10 |
CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L |
Opis | Luka wynika z braku sprawdzania poprawności żądania agenta. Użytkownik zdalny może wysyłać specjalnie spreparowane żądania gRPC i przeprowadzać atak typu „odmowa usługi” (DoS). |
Aktualizacja | TAK |
Link | https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/ |