| Produkt | GitLab Community Edition (CE) – wiele wersji GitLab Enterprise Edition (EE) – wiele wersji |
| Numer CVE | CVE-2024-0402 |
| Krytyczność | 9,9/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 16.0 przed 16.5.8, 16.6 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1, który umożliwia uwierzytelnionemu użytkownikowi zapisywanie plików do dowolnych lokalizacji na serwerze GitLab podczas tworzenia obszaru roboczego |
| Numer CVE | CVE-2023-6159 |
| Krytyczność | 6,5/10 |
| CVSS | AV:Nie dotyczy:L/PR:L/UI:N/S:U/C:Nie/I:Nie dotyczy:H |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 12.7 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1. Osoba atakująca mogła wywołać odmowę usługi wyrażeń regularnych za pośrednictwem plik Cargo.toml zawierający złośliwie spreparowane dane wejściowe. |
| Numer CVE | CVE-2023-5933 |
| Krytyczność | 6,4/10 |
| CVSS | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N |
| Opis | W GitLab CE/EE wykryto problem dotyczący wszystkich wersji po 13.7 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1. Niewłaściwe oczyszczanie danych wejściowych nazwy użytkownika umożliwia dowolne żądania API PUT. Jest to problem o średniej wadze |
| Numer CVE | CVE-2023-5612 |
| Krytyczność | 5,3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/D:N |
| Opis | W GitLab wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.6.6, 16.7 wcześniejszych niż 16.7.4 i 16.8 wcześniejszych niż 16.8.1. Możliwe było odczytanie adresu e-mail użytkownika poprzez kanał tagów, chociaż widoczność w profilu użytkownika została wyłączona. |
| Numer CVE | CVE-2024-0456 |
| Krytyczność | 4,3/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Opis | W wersjach GitLab 14.0 wcześniejszych niż 16.6.6, 16.7 wcześniejszych niż 16.7.4 i 16.8 wcześniejszych niż 16.8.1 występuje luka w zabezpieczeniach związanych z autoryzacją. Nieupoważniony atakujący może przypisać dowolnych użytkowników do MR, które utworzył w ramach projektu. |
| Aktualizacja | TAK |
| Link | https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/ |
