Ashish

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.7 a 17.1.7 GitLab CE/EE versões 17.2 a 17.2.5 GitLab CE/EE versões 17.3 a 17.3.2 Descrição: Foi descoberta uma vulnerabilidade no GitLab CE/EE em que informações dos executores de grupo eram divulgadas a membros não autorizados do grupo. A vulnerabilidade está relacionada ao componente Group Member Handler e envolve a contornagem da autorização por meio de uma chave controlada pelo usuário, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. Recomendações: Para as versões 16.7 a 17.1.7 do GitLab CE/EE, atualize para a versão 17.1.7 ou posterior. Para as versões 17.2 a 17.2.5 do GitLab CE/EE, atualize para a versão 17.2.5 ou posterior. Para as versões 17.3 a 17.3.2 do GitLab CE/EE, atualize para a versão 17.3.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso às informações dos executores de grupo para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.1 a 16.11.5 GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 Descrição: A vulnerabilidade está relacionada a um controle de acesso inadequado no GitLab, uma plataforma colaborativa de programação. Ela permite que um usuário que não seja membro do projeto promova resultados-chave a objetivos, o que pode levar ao acesso não autorizado a informações protegidas. Recomendações: Para as versões 16.1 a 16.11.5, atualize para a versão 16.11.5 ou posterior. Para as versões 17.0 a 17.0.3, atualize para a versão 17.0.3 ou posterior. Para as versões 17.1 a 17.1.1, atualize para a versão 17.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab 16.8 anteriores à 16.8.4 Versões do GitLab 16.9 anteriores à 16.9.2 **Descrição** Foi descoberta uma vulnerabilidade de escalonamento de privilégios no GitLab. Era possível que um usuário com a função personalizada `manage group access tokens` renovasse tokens de acesso de grupo com privilégios de proprietário. **Recomendações** Para as versões do GitLab 16.8 anteriores à 16.8.4, atualize para a versão 16.8.4 ou posterior. Para as versões do GitLab 16.9 anteriores à 16.9.2, atualize para a versão 16.9.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 16.0 through 16.4.3 GitLab EE versions 16.5 through 16.5.3 GitLab EE versions 16.6 through 16.6.1 **Description** A privilege escalation issue in GitLab EE allows a project Maintainer to use a Project Access Token to escalate their role to Owner. **Recommendations** For versions 16.0 through 16.4.3, update to version 16.4.4 or later. For versions 16.5 through 16.5.3, update to version 16.5.4 or later. For versions 16.6 through 16.6.1, update to version 16.6.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 15.5 through 15.7.7 GitLab versions 15.8 through 15.8.3 GitLab versions 15.9 through 15.9.1 **Description** An issue has been discovered in GitLab where non-project members could retrieve release descriptions via the API, even if the release visibility is restricted to project members only in the project settings. **Recommendations** For versions 15.5 through 15.7.7, update to version 15.7.8 or later. For versions 15.8 through 15.8.3, update to version 15.8.4 or later. For versions 15.9 through 15.9.1, update to version 15.9.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions prior to 15.4.6 GitLab EE version 15.5 prior to 15.5.5 GitLab EE version 15.6 prior to 15.6.1 **Description** A blind SSRF vulnerability was identified which allows an attacker to connect to a local host. **Recommendations** For GitLab EE versions prior to 15.4.6, update to version 15.4.6 or later. For GitLab EE version 15.5 prior to 15.5.5, update to version 15.5.5 or later. For GitLab EE version 15.6 prior to 15.6.1, update to version 15.6.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 11.3 through 15.3.4 GitLab CE/EE versions 15.4 through 15.4.3 GitLab CE/EE versions 15.5 through 15.5.1 **Description** An issue with access control in GitLab CE/EE allowed unauthorized users to view release names, even when releases were restricted to project members only. **Recommendations** For GitLab CE/EE versions 11.3 through 15.3.4, update to version 15.3.5 or later. For GitLab CE/EE versions 15.4 through 15.4.3, update to version 15.4.4 or later. For GitLab CE/EE versions 15.5 through 15.5.1, update to version 15.5.2 or later.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 12.5 a 14.10.4 Versões do GitLab EE 15.0 a 15.0.3 Versões do GitLab EE 15.1 a 15.1.0 **Descrição** Uma falha de divulgação de informações no GitLab EE permite a divulgação de títulos de versões se marcos de grupo estiverem associados a quaisquer versões de projeto. **Recomendações** Para as versões 12.5 a 14.10.4, atualize para a versão 14.10.5 ou posterior. Para as versões 15.0 a 15.0.3, atualize para a versão 15.0.4 ou posterior. Para as versões 15.1 a 15.1.0, atualize para a versão 15.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 12.0 a 14.3.6 GitLab CE/EE versões 14.4 a 14.4.4 GitLab CE/EE versões 14.5 a 14.5.2 **Descrição** Uma falha de divulgação de informações permitia que pessoas que não eram membros do projeto visualizassem o nome do ramo padrão de projetos que restringem o acesso ao repositório aos membros do projeto. **Recomendações** Para as versões 12.0 a 14.3.6, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 14.4 a 14.4.4, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 14.5 a 14.5.2, atualize para uma versão fora desse intervalo para resolver o problema.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 13.6 e posteriores Descrição: A vulnerabilidade permite que um invasor visualize convites pendentes de qualquer grupo público ou projeto público ao acessar um “ponto de extremidade da API” específico. Recomendações: Para as versões 13.6 e posteriores do GitLab CE/EE, considere restringir o acesso ao ponto de extremidade da API até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 13.8 e superiores Descrição: Foi identificada uma falha que permite que um usuário autenticado exclua imagens de métricas de incidentes de projetos públicos. Recomendações: Para as versões 13.8 e superiores do GitLab CE/EE, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 13.3 a 13.3.8 do GitLab EE Versões 13.4 a 13.4.4 do GitLab EE Versões 13.5 a 13.5.1 do GitLab EE **Descrição** Certas informações de configuração SAST podiam ser visualizadas por usuários não autorizados no GitLab EE. Essas informações foram expostas por meio do GraphQL a não membros de projetos públicos com visibilidade de repositório restrita, bem como a membros convidados em projetos privados. **Recomendações** Para as versões 13.3 a 13.3.8, atualize para a versão 13.3.9 ou posterior para resolver o problema. Para as versões 13.4 a 13.4.4, atualize para a versão 13.4.5 ou posterior para resolver o problema. Para as versões 13.5 a 13.5.1, atualize para a versão 13.5.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do GitLab anteriores à 13.1.10 Versões do GitLab anteriores à 13.2.8 Versões do GitLab anteriores à 13.3.4 **Descrição** Foi descoberta uma vulnerabilidade que permite que relatores de projeto e usuários com permissões superiores visualizem EPICs confidenciais anexados a issues confidenciais. **Recomendações** Para versões anteriores à 13.1.10, atualize para a versão 13.1.10 ou posterior. Para versões anteriores à 13.2.8, atualize para a versão 13.2.8 ou posterior. Para versões anteriores à 13.3.4, atualize para a versão 13.3.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** GitLab Community and Enterprise Edition versions 12.0 through 12.2.1 **Description** An issue was discovered that could result in disclosure of private milestones, labels, and other information due to an IDOR in the epic notes API. **Recommendations** For GitLab Community and Enterprise Edition versions 12.0 through 12.2.1, consider restricting access to the epic notes API until a fix is available. As a temporary workaround, avoid using the epic notes API to minimize the risk of information disclosure.