Ali_Shehab

**Nome do software vulnerável e versões afetadas** Versões do GitLab 11.3 a 16.7.6 Versões do GitLab 16.7.6 a 16.8.3 Versões do GitLab 16.8.3 a 16.9.1 **Descrição** Foi descoberta uma vulnerabilidade de contorno de autorização no GitLab, permitindo que um invasor contorne os CODEOWNERS utilizando uma carga maliciosa criada em um branch de recurso antigo para realizar ações maliciosas. Esse problema expõe potencialmente dados financeiros ou código. Aproximadamente 509.862 dispositivos estão potencialmente afetados, distribuídos principalmente na China e nos Estados Unidos. **Recomendações** Para as versões do GitLab 11.3 a 16.7.6, atualize para a versão 16.7.7 para corrigir a vulnerabilidade. Para as versões do GitLab 16.7.6 a 16.8.3, atualize para a versão 16.8.4 para corrigir a vulnerabilidade. Para as versões do GitLab 16.8.3 a 16.9.1, atualize para a versão 16.9.2 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso a ramos de recursos antigos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GitLab 15.1 a 16.7.5 Versões do GitLab 16.8 a 16.8.2 Versões do GitLab 16.9 a 16.9.0 **Descrição** O problema está relacionado a um controle de acesso insuficiente no GitLab, permitindo que um invasor remoto contorne as restrições de segurança. Um desenvolvedor pode contornar as aprovações dos CODEOWNERS criando um conflito de mesclagem. **Recomendações** Para as versões do GitLab 15.1 a 16.7.5, atualize para a versão 16.7.6 ou posterior. Para as versões 16.8 a 16.8.2 do GitLab, atualize para a versão 16.8.3 ou posterior. Para as versões 16.9 a 16.9.0 do GitLab, atualize para a versão 16.9.1 ou posterior. Como solução alternativa temporária, considere restringir a capacidade de criar conflitos de mesclagem até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 9.3 through 16.4.3 GitLab versions 16.5 through 16.5.3 GitLab versions 16.6 through 16.6.1 **Description** An issue has been discovered in GitLab where, in certain situations, it may have been possible for developers to override predefined CI variables via the REST API. **Recommendations** For GitLab versions 9.3 through 16.4.3, update to version 16.4.4 or later. For GitLab versions 16.5 through 16.5.3, update to version 16.5.4 or later. For GitLab versions 16.6 through 16.6.1, update to version 16.6.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 15.3 through 16.5.6 GitLab EE versions 16.6 through 16.6.4 GitLab EE versions 16.7 through 16.7.2 **Description** The issue is related to insufficient access control to the CODEOWNERS file in GitLab EE, allowing a remote attacker to bypass required approvals by adding changes to a previously approved merge request. This could potentially lead to unauthorized access, modification, or deletion of data. **Recommendations** For versions 15.3 through 16.5.6, update to version 16.5.6 or later to resolve the issue. For versions 16.6 through 16.6.4, update to version 16.6.4 or later to resolve the issue. For versions 16.7 through 16.7.2, update to version 16.7.2 or later to resolve the issue. As a temporary workaround, consider restricting access to the CODEOWNERS file to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 12.0 through 15.10.8 GitLab EE versions 15.11 through 15.11.7 GitLab EE versions 16.0 through 16.0.2 **Description** An issue has been discovered in GitLab EE that allows an attacker to clone a repository from a public project, from a disallowed IP, even after the top-level group has enabled IP restrictions on the group. **Recommendations** For versions 12.0 through 15.10.8, update to a version after 15.10.8 to resolve the issue. For versions 15.11 through 15.11.7, update to a version after 15.11.7 to resolve the issue. For versions 16.0 through 16.0.2, update to a version after 16.0.2 to resolve the issue. As a temporary workaround, consider restricting access to the repository cloning functionality until a patch is available.