| Produkt | GitLab Community Edition (CE) – wersje wcześniejsze niż 17.5.2, 17.4.4 i 17.3.7 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.5.2, 17.4.4 i 17.3.7 |
| Numer CVE | CVE-2024-9693 |
| Krytyczność | 8.5/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | Odkryto problem, który mógł umożliwić nieautoryzowany dostęp do agenta Kubernetes w klastrze przy określonych konfiguracjach. |
| Numer CVE | CVE-2024-7404 |
| Krytyczność | 6.8/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N |
| Opis | Odkryto problem, który mógł umożliwić atakującemu uzyskanie pełnego dostępu do interfejsu API jako ofiara za pośrednictwem przepływu OAuth urządzenia. |
| Numer CVE | N/A |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | Odkryto problem Denial of Service (DoS) w GitLab CE/EE. Odmowa usługi może wystąpić po zaimportowaniu złośliwie spreparowanej zawartości za pomocą importera Fogbugz. |
| Numer CVE | CVE-2024-8648 |
| Krytyczność | 6.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka w zabezpieczeniach może umożliwić atakującemu wstrzyknięcie złośliwego kodu JavaScript do pulpitu nawigacyjnego Analytics za pośrednictwem specjalnie spreparowanego adresu URL. |
| Numer CVE | CVE-2024-8180. |
| Krytyczność | 5.4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | Odkryto problem w GitLab. Nieprawidłowe kodowanie wyjściowe może prowadzić do XSS, jeśli CSP nie jest włączone. |
| Numer CVE | CVE-2024-10240 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Odkryto problem w GitLab EE, który polega na tym, że w pewnych okolicznościach niezalogowany użytkownik może odczytać pewne informacje o MR w prywatnym projekcie. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/11/13/patch-release-gitlab-17-5-2-released/ |
GitLab publikuje aktualizacje dla swoich produktów. (P24-382)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny