Ashish_R_Padelkar

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.7 a 17.1.7 GitLab CE/EE versões 17.2 a 17.2.5 GitLab CE/EE versões 17.3 a 17.3.2 Descrição: Foi descoberta uma vulnerabilidade no GitLab CE/EE em que informações dos executores de grupo eram divulgadas a membros não autorizados do grupo. A vulnerabilidade está relacionada ao componente Group Member Handler e envolve a contornagem da autorização por meio de uma chave controlada pelo usuário, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. Recomendações: Para as versões 16.7 a 17.1.7 do GitLab CE/EE, atualize para a versão 17.1.7 ou posterior. Para as versões 17.2 a 17.2.5 do GitLab CE/EE, atualize para a versão 17.2.5 ou posterior. Para as versões 17.3 a 17.3.2 do GitLab CE/EE, atualize para a versão 17.3.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso às informações dos executores de grupo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 17.0 a 17.1.7 do GitLab-CE/EE Versões 17.2 a 17.2.5 do GitLab-CE/EE Versões 17.3 a 17.3.2 do GitLab-CE/EE **Descrição** Foi descoberta uma falha no GitLab-CE/EE em que um invasor, atuando como usuário convidado, conseguia acessar informações de commit por meio do “endpoint Atom de lançamento”, contrariando as permissões. **Recomendações** Para as versões 17.0 a 17.1.7, atualize para a versão 17.1.7 ou posterior. Para as versões 17.2 a 17.2.5, atualize para a versão 17.2.5 ou posterior. Para as versões 17.3 a 17.3.2, atualize para a versão 17.3.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint Atom de lançamento até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 16.5 a 16.11.6 GitLab CE/EE versões 17.0 a 17.0.4 GitLab CE/EE versões 17.1 a 17.1.2 **Descrição** A vulnerabilidade está relacionada ao controle de acesso insuficiente na função `admin group member` do componente Group Member Handler no GitLab. Isso pode permitir que um invasor remoto banir membros arbitrários do grupo. Um usuário com a permissão de função personalizada `admin group member` pode explorar essa vulnerabilidade. **Recomendações** Para as versões 16.5 a 16.11.6 do GitLab CE/EE, atualize para a versão 16.11.6 ou posterior. Para as versões 17.0 a 17.0.4 do GitLab CE/EE, atualize para a versão 17.0.4 ou posterior. Para as versões 17.1 a 17.1.2 do GitLab CE/EE, atualize para a versão 17.1.2 ou posterior. Como solução alternativa temporária, considere restringir a permissão da função personalizada `admin group member` para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.9 a 16.11.5 GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 Descrição: Uma falha no GitLab CE/EE permite que o título de uma solicitação de mesclagem fique visível publicamente, apesar de ter sido definido como restrito aos membros do projeto. Isso está relacionado a um controle de acesso inadequado. A falha pode ser explorada por um invasor remoto para divulgar informações protegidas. Recomendações: Para as versões 16.9 a 16.11.5, atualize para a versão 16.11.5 ou posterior. Para as versões 17.0 a 17.0.3, atualize para a versão 17.0.3 ou posterior. Para as versões 17.1 a 17.1.1, atualize para a versão 17.1.1 ou posterior.

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.1 a 16.11.5 GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 Descrição: A vulnerabilidade está relacionada a um controle de acesso inadequado no GitLab, uma plataforma colaborativa de programação. Ela permite que um usuário que não seja membro do projeto promova resultados-chave a objetivos, o que pode levar ao acesso não autorizado a informações protegidas. Recomendações: Para as versões 16.1 a 16.11.5, atualize para a versão 16.11.5 ou posterior. Para as versões 17.0 a 17.0.3, atualize para a versão 17.0.3 ou posterior. Para as versões 17.1 a 17.1.1, atualize para a versão 17.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab 16.8 anteriores à 16.8.4 Versões do GitLab 16.9 anteriores à 16.9.2 **Descrição** Foi descoberta uma vulnerabilidade de escalonamento de privilégios no GitLab. Era possível que um usuário com a função personalizada `manage group access tokens` renovasse tokens de acesso de grupo com privilégios de proprietário. **Recomendações** Para as versões do GitLab 16.8 anteriores à 16.8.4, atualize para a versão 16.8.4 ou posterior. Para as versões do GitLab 16.9 anteriores à 16.9.2, atualize para a versão 16.9.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 16.0 through 16.4.3 GitLab EE versions 16.5 through 16.5.3 GitLab EE versions 16.6 through 16.6.1 **Description** A privilege escalation issue in GitLab EE allows a project Maintainer to use a Project Access Token to escalate their role to Owner. **Recommendations** For versions 16.0 through 16.4.3, update to version 16.4.4 or later. For versions 16.5 through 16.5.3, update to version 16.5.4 or later. For versions 16.6 through 16.6.1, update to version 16.6.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 12.1 through 16.4.2 GitLab versions 16.5 through 16.5.2 GitLab versions 16.6 through 16.6.0 **Description** An issue has been discovered in GitLab where a Guest user could add an emoji on confidential work items. **Recommendations** For versions 12.1 through 16.4.2, update to version 16.4.3 or later. For versions 16.5 through 16.5.2, update to version 16.5.3 or later. For versions 16.6 through 16.6.0, update to version 16.6.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 11.3 through 16.4.2 GitLab versions 16.5 through 16.5.2 GitLab versions 16.6 through 16.6.0 **Description** An issue has been discovered in GitLab where unauthorized users could view public projects' release descriptions via an "atom endpoint" when release access on the public was set to only project members. **Recommendations** For GitLab versions 11.3 through 16.4.2, update to version 16.4.3 or later. For GitLab versions 16.5 through 16.5.2, update to version 16.5.3 or later. For GitLab versions 16.6 through 16.6.0, update to version 16.6.1 or later. As a temporary workaround, consider restricting access to the "atom endpoint" until a patch is available.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 15.5 through 15.7.7 GitLab versions 15.8 through 15.8.3 GitLab versions 15.9 through 15.9.1 **Description** An issue has been discovered in GitLab where non-project members could retrieve release descriptions via the API, even if the release visibility is restricted to project members only in the project settings. **Recommendations** For versions 15.5 through 15.7.7, update to version 15.7.8 or later. For versions 15.8 through 15.8.3, update to version 15.8.4 or later. For versions 15.9 through 15.9.1, update to version 15.9.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions prior to 15.4.6 GitLab EE version 15.5 prior to 15.5.5 GitLab EE version 15.6 prior to 15.6.1 **Description** A blind SSRF vulnerability was identified which allows an attacker to connect to a local host. **Recommendations** For GitLab EE versions prior to 15.4.6, update to version 15.4.6 or later. For GitLab EE version 15.5 prior to 15.5.5, update to version 15.5.5 or later. For GitLab EE version 15.6 prior to 15.6.1, update to version 15.6.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 11.3 through 15.3.4 GitLab CE/EE versions 15.4 through 15.4.3 GitLab CE/EE versions 15.5 through 15.5.1 **Description** An issue with access control in GitLab CE/EE allowed unauthorized users to view release names, even when releases were restricted to project members only. **Recommendations** For GitLab CE/EE versions 11.3 through 15.3.4, update to version 15.3.5 or later. For GitLab CE/EE versions 15.4 through 15.4.3, update to version 15.4.4 or later. For GitLab CE/EE versions 15.5 through 15.5.1, update to version 15.5.2 or later.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 12.5 a 14.10.4 Versões do GitLab EE 15.0 a 15.0.3 Versões do GitLab EE 15.1 a 15.1.0 **Descrição** Uma falha de divulgação de informações no GitLab EE permite a divulgação de títulos de versões se marcos de grupo estiverem associados a quaisquer versões de projeto. **Recomendações** Para as versões 12.5 a 14.10.4, atualize para a versão 14.10.5 ou posterior. Para as versões 15.0 a 15.0.3, atualize para a versão 15.0.4 ou posterior. Para as versões 15.1 a 15.1.0, atualize para a versão 15.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab 10.0 a 14.5.4 Versões do GitLab 10.1 a 14.6.4 Versões do GitLab 10.2 a 14.7.1 **Descrição** Uma falha no GitLab permite que caminhos de projetos privados sejam divulgados a usuários não autorizados por meio de notas do sistema quando uma issue é fechada por meio de uma solicitação de mesclagem e posteriormente movida para um projeto público. **Recomendações** Para as versões 10.0 a 14.5.4, atualize para a versão 14.5.4 ou posterior para resolver o problema. Para as versões 10.1 a 14.6.4, atualize para a versão 14.6.4 ou posterior para resolver o problema. Para as versões 10.2 a 14.7.1, atualize para a versão 14.7.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 12.0 e posteriores **Descrição** A vulnerabilidade permite que um usuário com privilégios inferiores importe usuários de projetos nos quais não possui a função de mantenedor, podendo divulgar endereços de e-mail desses usuários. **Recomendações** Para as versões 12.0 e posteriores do GitLab CE/EE, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 12.0 a 14.3.6 GitLab CE/EE versões 14.4 a 14.4.4 GitLab CE/EE versões 14.5 a 14.5.2 **Descrição** Uma falha de divulgação de informações permitia que pessoas que não eram membros do projeto visualizassem o nome do ramo padrão de projetos que restringem o acesso ao repositório aos membros do projeto. **Recomendações** Para as versões 12.0 a 14.3.6, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 14.4 a 14.4.4, atualize para uma versão fora desse intervalo para resolver o problema. Para as versões 14.5 a 14.5.2, atualize para uma versão fora desse intervalo para resolver o problema.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 13.6 e posteriores Descrição: A vulnerabilidade permite que um invasor visualize convites pendentes de qualquer grupo público ou projeto público ao acessar um “ponto de extremidade da API” específico. Recomendações: Para as versões 13.6 e posteriores do GitLab CE/EE, considere restringir o acesso ao ponto de extremidade da API até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas: GitLab EE versões 14.1 e posteriores Descrição: O problema está relacionado a uma vulnerabilidade de referência direta a objeto insegura. Um endpoint pode revelar o nome do branch protegido a um usuário mal-intencionado que faça uma chamada de API manipulada com o ID do branch protegido. Recomendações: Para as versões 14.1 e posteriores do GitLab EE, considere restringir o acesso ao endpoint vulnerável até que um patch esteja disponível. Como solução temporária, evite usar o ID do branch protegido em chamadas de API maliciosas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 13.0 e posteriores **Descrição** O problema está relacionado a uma falha na autorização no GitLab, afetando visitantes em projetos privados. Isso permite o acesso não autorizado para visualizar análises de CI/CD. A vulnerabilidade pode ser explorada remotamente para obter acesso a dados confidenciais. **Recomendações** Para as versões 13.0 e posteriores do GitLab CE/EE, atualize para uma versão que inclua a correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 13.8 e superiores Descrição: Foi identificada uma falha que permite que um usuário autenticado exclua imagens de métricas de incidentes de projetos públicos. Recomendações: Para as versões 13.8 e superiores do GitLab CE/EE, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.