ProduktGitlab Community Edition: 0.1.5 – 17.0.1
GitLab Enterprise Edition: 6.2.0 – 17.0.1
Numer CVECVE-2024-4201
Krytyczność4.4/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisLuka wynika z niewystarczającego oczyszczenia danych dostarczonych przez użytkownika podczas przeglądania nieprzetworzonych plików XHTML na urządzeniach z systemem iOS. Zdalny użytkownik może oszukać ofiarę, aby skorzystała ze specjalnie spreparowanego łącza i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny internetowej. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej zdalnie na kradzież potencjalnie wrażliwych informacji, zmianę wyglądu strony internetowej, przeprowadzenie ataków typu phishing i drive-by-download
  
Numer CVECVE-2024-1495
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w linkerze zależności gomod. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-1736
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w interpolacji CI. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-1963
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z niewystarczającej weryfikacji danych wejściowych podczas przetwarzania wyrażeń regularnych w mapowaniu problemów z integracją Asany po wywołaniu elementu webhook. Zdalny użytkownik może przekazać specjalnie spreparowane dane do aplikacji i przeprowadzić atak typu „odmowa usługi” za pomocą wyrażeń regularnych (ReDos).
  
Numer CVECVE-2024-5469
Krytyczność3,1/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L
OpisLuka wynika z braku sprawdzania poprawności żądania agenta. Użytkownik zdalny może wysyłać specjalnie spreparowane żądania gRPC i przeprowadzać atak typu „odmowa usługi” (DoS).
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/