Js_Noob

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 11.2 a 17.1.6 Versões do GitLab EE 17.2 a 17.2.4 Versões do GitLab EE 17.3 a 17.3.1 **Descrição** Foi descoberta uma vulnerabilidade no GitLab EE que permite que um usuário convidado leia o código-fonte de um projeto privado usando modelos de grupo. Essa vulnerabilidade resulta em acesso não autorizado a projetos privados. **Recomendações** Para as versões 11.2 a 17.1.6 do GitLab EE, atualize para a versão 17.1.7 ou posterior. Para as versões 17.2 a 17.2.4 do GitLab EE, atualize para a versão 17.2.5 ou posterior. Para as versões 17.3 a 17.3.1 do GitLab EE, atualize para a versão 17.3.2 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 **Descrição** O problema está relacionado a um controle de acesso insuficiente na função `admin compliance framework` do componente Group Namespace URL Handler no GitLab. Isso poderia permitir que um invasor remoto modificasse a URL de um namespace de grupo. A vulnerabilidade afeta usuários desenvolvedores com a função personalizada `admin compliance framework`. **Recomendações** Para as versões 17.0 a 17.0.3 do GitLab CE/EE, atualize para a versão 17.0.4 ou posterior para resolver o problema. Para as versões 17.1 a 17.1.1 do GitLab CE/EE, atualize para a versão 17.1.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a função personalizada `admin compliance framework` para usuários Developer até que um patch seja aplicado.

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.10 a 16.11.5 GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 Descrição: O problema está relacionado ao controle de acesso insuficiente na implementação da interface de programação de aplicativos (API) da plataforma GitLab para trabalho colaborativo de código. Isso pode permitir que um invasor remoto obtenha acesso para ler, modificar ou excluir dados. Especificamente, um mantenedor de projeto pode excluir a política de aprovação de solicitações de mesclagem via `graphQL`. Recomendações: Para as versões 16.10 a 16.11.5, atualize para a versão 16.11.5 ou posterior. Para as versões 17.0 a 17.0.3, atualize para a versão 17.0.3 ou posterior. Para as versões 17.1 a 17.1.1, atualize para a versão 17.1.1 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao endpoint `graphQL` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** GitLab EE/CE versões 11.4 a 17.2.8 GitLab EE/CE versões 17.3 a 17.3.4 GitLab EE/CE versões 17.4 a 17.4.1 **Descrição** O problema está relacionado a erros na representação de determinadas funções na plataforma GitLab, permitindo que um invasor remoto obtenha acesso não autorizado a informações protegidas. Especificamente, era possível que usuários convidados divulgassem modelos de projeto usando a API. **Recomendações** Para as versões 11.4 a 17.2.8 do GitLab EE/CE, atualize para a versão 17.2.9 ou posterior. Para as versões 17.3 a 17.3.4 do GitLab EE/CE, atualize para a versão 17.3.5 ou posterior. Para as versões 17.4 a 17.4.1 do GitLab EE/CE, atualize para a versão 17.4.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso à API para usuários convidados até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 16.7 a 16.11.5 GitLab CE/EE versões 17.0 a 17.0.3 GitLab CE/EE versões 17.1 a 17.1.1 Descrição: Uma falha no GitLab CE/EE permite que artefatos de tarefas privadas sejam acessados por qualquer usuário devido a uma autorização inadequada. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Recomendações: Para as versões 16.7 a 16.11.5 do GitLab CE/EE, atualize para a versão 16.11.5 ou posterior para resolver o problema. Para as versões 17.0 a 17.0.3 do GitLab CE/EE, atualize para a versão 17.0.3 ou posterior para resolver o problema. Para as versões 17.1 a 17.1.1 do GitLab CE/EE, atualize para a versão 17.1.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 16.4 a 16.6.7 Versões do GitLab EE 16.7 a 16.7.5 Versões do GitLab EE 16.8 a 16.8.2 **Descrição** A vulnerabilidade permite que um mantenedor altere o nome de um branch protegido, contornando a política de segurança adicionada para bloquear solicitações de mesclagem. Isso está relacionado a um controle de acesso insuficiente na plataforma GitLab. Um invasor poderia explorar essa vulnerabilidade para contornar remotamente as restrições de segurança existentes. **Recomendações** Para as versões 16.4 a 16.6.7 do GitLab EE, atualize para a versão 16.6.7 ou posterior. Para as versões 16.7 a 16.7.5 do GitLab EE, atualize para a versão 16.7.5 ou posterior. Para as versões 16.8 a 16.8.2 do GitLab EE, atualize para a versão 16.8.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 8.17 through 16.4.3 GitLab EE versions 16.5 through 16.5.3 GitLab EE versions 16.6 through 16.6.1 **Description** An issue has been discovered in GitLab EE, where auditor users could fork and submit merge requests to private projects they are not a member of. **Recommendations** For versions 8.17 through 16.4.3, update to version 16.4.4 or later. For versions 16.5 through 16.5.3, update to version 16.5.4 or later. For versions 16.6 through 16.6.1, update to version 16.6.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 13.2 through 16.4.2 GitLab versions 16.5 through 16.5.2 GitLab versions 16.6 through 16.6.0 **Description** An issue has been discovered in GitLab, allowing users to access composer packages on public projects that have package registry disabled in the project settings. **Recommendations** For GitLab versions 13.2 through 16.4.2, update to version 16.4.3 or later. For GitLab versions 16.5 through 16.5.2, update to version 16.5.3 or later. For GitLab versions 16.6 through 16.6.0, update to version 16.6.1 or later.

**Name of the Vulnerable Software and Affected Versions** Gitlab EE and CE versions prior to 16.2.8 Gitlab EE and CE version 16.3 prior to 16.3.5 Gitlab EE and CE version 16.4 prior to 16.4.1 **Description** The issue allows an attacker to cause pipelines to fail, resulting in a Denial of Service. This affects all versions of Gitlab EE and CE prior to the specified versions. **Recommendations** For Gitlab EE and CE versions prior to 16.2.8, update to version 16.2.8 or later. For Gitlab EE and CE version 16.3 prior to 16.3.5, update to version 16.3.5 or later. For Gitlab EE and CE version 16.4 prior to 16.4.1, update to version 16.4.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 11.8 through 16.2.7 GitLab CE/EE versions 16.3 through 16.3.4 GitLab CE/EE versions 16.4 through 16.4.0 **Description** An improper authorization issue has been discovered in GitLab CE/EE. It allows a project reporter to leak the owner's Sentry instance projects. **Recommendations** For versions 11.8 through 16.2.7, update to version 16.2.8 or later. For versions 16.3 through 16.3.4, update to version 16.3.5 or later. For versions 16.4 through 16.4.0, update to version 16.4.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions prior to 16.0.8 GitLab CE/EE versions 16.1 prior to 16.1.3 GitLab CE/EE versions 16.2 prior to 16.2.2 **Description** An issue has been discovered in GitLab CE/EE, which allows developers to create pipeline schedules on protected branches even if they don't have access to merge. **Recommendations** For versions prior to 16.0.8, update to version 16.0.8 or later. For versions 16.1 prior to 16.1.3, update to version 16.1.3 or later. For versions 16.2 prior to 16.2.2, update to version 16.2.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 12.0 through 15.10.4 GitLab EE versions 15.11.0 **Description** An issue has been discovered in GitLab EE where a malicious group member may continue to commit to projects even from a restricted IP address. **Recommendations** For GitLab EE versions 12.0 through 15.10.4, update to version 15.10.5 or later. For GitLab EE version 15.11.0, update to version 15.11.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 10.0 through 12.9.7 GitLab versions 12.10 through 12.10.6 GitLab versions 13.0 through 13.0.0 **Description** An issue has been discovered in GitLab where a user with the role of developer could use the import project feature to leak CI/CD variables. **Recommendations** For GitLab versions 10.0 through 12.9.7, update to version 12.9.8 or later. For GitLab versions 12.10 through 12.10.6, update to version 12.10.7 or later. For GitLab versions 13.0 through 13.0.0, update to version 13.0.1 or later.