1.     GitLab

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1
Numer CVECVE-2024-8114
Krytyczność8.2/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
OpisProblem ten umożliwia atakującemu, który ma dostęp do osobistego tokena dostępu (PAT) ofiary, podniesienie uprawnień.
  
Numer CVECVE-2024-8237
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisOdkryto problem Denial of Service (DoS) w GitLab CE. Atakujący może spowodować odmowę usługi za pomocą spreparowanego pliku cargo.toml.
  
Numer CVECVE-2024-11669
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
OpisNiektóre punkty końcowe interfejsu API mogą potencjalnie umożliwiać nieautoryzowany dostęp do poufnych danych ze względu na zbyt szerokie zastosowanie zakresów tokenów.
  
Numer CVECVE-2024-8177
Krytyczność5.3/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisOdkryto problem w GitLab CE/EE, który może spowodować odmowę usługi poprzez integrację złośliwego rejestru portów.
  
Numer CVECVE-2024-11828
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
OpisOdkryto stan odmowy usługi (DoS) w GitLab CE. Wykorzystując tę ​​lukę, atakujący może stworzyć stan DoS, wysyłając spreparowane wywołania API
  
Numer CVECVE-2024-11668
Krytyczność4.2/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
OpisOdkryto problem w GitLab CE/EE. Długotrwałe połączenia mogą potencjalnie ominąć kontrolę uwierzytelniania, umożliwiając nieautoryzowany dostęp do wyników przesyłania strumieniowego.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/#privilege-escalation-via-lfs-tokens