| Produkt | GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji |
| Numer CVE | CVE-2024-9164 |
| Krytyczność | 9.6/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Opis | Luka umożliwia zdalnemu atakującemu uzyskanie nieautoryzowanego dostępu do w inny sposób ograniczonej funkcjonalności. Luka istnieje z powodu niewłaściwych ograniczeń dostępu. Zdalny użytkownik może uruchamiać potoki na dowolnych gałęziach |
| Numer CVE | CVE-2024-8970 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Opis | Luka umożliwia zdalnemu atakującemu uzyskanie nieautoryzowanego dostępu do w inny sposób ograniczonej funkcjonalności. Luka istnieje z powodu niewłaściwych ograniczeń dostępu. Zdalny użytkownik może ominąć wdrożone ograniczenia bezpieczeństwa i podszyć się pod dowolnego użytkownika. |
| Numer CVE | CVE-2024-8977 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
| Opis | Luka występuje z powodu niewystarczającej walidacji danych wejściowych użytkownika w Analytics Dashboard. Zdalny użytkownik może wysłać specjalnie spreparowane żądanie HTTP i oszukać aplikację, aby zainicjowała żądania do dowolnych systemów. Pomyślne wykorzystanie tej luki może umożliwić zdalnemu atakującemu uzyskanie dostępu do poufnych danych znajdujących się w sieci lokalnej lub wysyłanie złośliwych żądań do innych serwerów z podatnego systemu. |
| Numer CVE | CVE-2024-9631 |
| Krytyczność | 7.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka występuje z powodu przeglądania różnic MR z konfliktami, co może być powolne. Zdalny atakujący może przeprowadzić atak typu DoS (odmowa usługi). |
| Numer CVE | CVE-2024-6530 |
| Krytyczność | 7.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N |
| Opis | Luka występuje z powodu niewystarczającej dezynfekcji danych dostarczonych przez użytkownika na stronie OAuth. Zdalny użytkownik może oszukać ofiarę, aby kliknęła specjalnie spreparowany link i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej witryny. |
| Numer CVE | CVE-2024-9623 |
| Krytyczność | 4.9/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
| Opis | Luka występuje z powodu aplikacji, która nie nakłada prawidłowo ograniczeń bezpieczeństwa. Zdalny administrator może spowodować, że klucze wdrażania zostaną przesłane do zarchiwizowanego repozytorium. |
| Numer CVE | CVE-2024-5005 |
| Krytyczność | 4.3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka występuje z powodu nadmiernego wyprowadzania danych przez aplikację. Zdalny użytkownik może ujawnić szablony projektu za pomocą interfejsu API. |
| Numer CVE | CVE-2024-9596 |
| Krytyczność | 3.7/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Luka występuje z powodu nadmiernego wyprowadzania danych przez aplikację. Zdalny atakujący może określić numer wersji GitLab dla instancji GitLab. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-334)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny