Gitlab · Gitlab Ce/Ee · CVE-2024-4024
Nome do software vulnerável e versões afetadas:
GitLab CE/EE versões 7.8 a 16.9.5
GitLab CE/EE versões 16.10 a 16.10.3
GitLab CE/EE versões 16.11 a 16.11.0
Descrição:
Foi descoberta uma falha no GitLab CE/EE que afeta o controle de acesso quando o Bitbucket é usado como provedor OAuth 2.0. Sob certas condições, um invasor com as credenciais de sua conta do Bitbucket pode ser capaz de assumir o controle de uma conta do GitLab vinculada à conta do Bitbucket de outro usuário.
Recomendações:
Para as versões 7.8 a 16.9.5, atualize para a versão 16.9.6 ou posterior.
Para as versões 16.10 a 16.10.3, atualize para a versão 16.10.4 ou posterior.
Para as versões 16.11 a 16.11.0, atualize para a versão 16.11.1 ou posterior.
Como solução alternativa temporária, considere restringir o uso do Bitbucket como provedor OAuth 2.0 no GitLab até que um patch seja aplicado.