Executor

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 7.7 e posteriores Descrição: O aplicativo pode permitir que um usuário mal-intencionado crie um aplicativo cliente OAuth com nomes de escopo arbitrários, levando potencialmente usuários desavisados a autorizar o aplicativo cliente mal-intencionado usando o nome e a descrição de escopo falsificados. Recomendações: Para as versões 7.7 e posteriores do GitLab CE/EE, considere restringir a capacidade de criar aplicativos clientes OAuth com nomes de escopo arbitrários até que uma correção esteja disponível. Como solução alternativa temporária, monitore as criações de aplicativos clientes OAuth e as solicitações de autorização para detectar possíveis atividades maliciosas.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 11.9 a 12.0.2 Descrição: Foi identificada uma falha que permite que usuários não autorizados adicionem comentários a um snippet privado devido a um problema de autorização no GitLab Snippets. Essa falha também permite a contornamento da autenticação. Recomendações: Para as versões 11.9 a 12.0.2 do GitLab Community e Enterprise Edition, considere restringir o acesso a snippets privados até que uma correção esteja disponível. Como solução alternativa temporária, considere desativar o recurso de comentários em snippets privados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.