Nyangawa

**Nome do software vulnerável e versões afetadas** Versões do GitLab anteriores à 12.10.13 **Descrição** O problema está relacionado a um XSS armazenado no recurso de importação de projetos do Bitbucket. **Recomendações** Para versões anteriores à 12.10.13, atualize para a versão 12.10.13 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do GitLab de 10.4 a 12.8.1 **Descrição** A falha permite a traversal de diretórios, o que leva à leitura arbitrária de arquivos. Um endpoint específico estava vulnerável a uma falha de traversal de diretórios. **Recomendações** Para as versões do GitLab 10.4 a 12.8.1, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a leitura arbitrária de arquivos. Como solução temporária, considere restringir o acesso ao endpoint vulnerável até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 8.4 a 11.11 Descrição: Uma falha permite que um usuário mal-intencionado execute código JavaScript em notas ao importar um arquivo de projeto especialmente criado, possibilitando o cross-site scripting (XSS). Recomendações: Para as versões 8.4 a 11.11 do GitLab Community e Enterprise Edition, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de impedir que usuários mal-intencionados executem código JavaScript em notas.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition versão 11.11 Descrição: Uma falha permite que um usuário mal-intencionado autenticado execute comandos remotamente por meio do recurso de download do repositório, possibilitando a injeção de comando. Isso é possível com uma carga maliciosa especialmente criada. Recomendações: Para o GitLab Community e Enterprise Edition versão 11.11, atualize para uma versão que inclua uma correção para esta vulnerabilidade, a fim de prevenir ataques de injeção de comando. Como solução temporária, considere restringir o acesso ao recurso de download do repositório para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 8.4 a 11.11 Descrição: O recurso de ramos protegidos do GitLab apresentava uma falha no controle de acesso, resultando na contornamento das regras de restrição dos ramos protegidos. Essa falha está relacionada a um controle de acesso incorreto. Recomendações: Para as versões 8.4 a 11.11 do GitLab Community e Enterprise Edition, considere restringir o acesso ao recurso de ramos protegidos até que uma correção esteja disponível. Como solução alternativa temporária, revise e aplique controles de acesso manuais para minimizar o risco de modificações não autorizadas nos ramos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 10.2 a 11.11 Descrição: Foi detectada uma falha em vários recursos, causando vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF) devido à validação insuficiente para impedir ataques de rebinding de DNS. Recomendações: Para as versões 10.2 a 11.11 do GitLab Community e Enterprise Edition, atualize para uma versão que inclua a correção para a vulnerabilidade SSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE de 11.11 a 12.7.2 **Descrição** A vulnerabilidade permite o traversal de diretórios. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões do GitLab EE 11.11 a 12.7.2, atualize para uma versão posterior à 12.7.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** GitLab Enterprise Edition, versões 8.9.0 a 12.6.1 **Descrição** Foi descoberta uma falha que permite que alguém obtenha issues de projetos privados usando o recurso de importação de projetos. **Recomendações** Para as versões 8.9.0 a 12.6.1 do GitLab Enterprise Edition, considere restringir o acesso ao recurso de importação de projetos até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 11.3 a 12.5.3 Versão 12.4.5 do GitLab EE Versão 12.3.8 do GitLab EE **Descrição** O problema está relacionado à sanitização insuficiente de parâmetros no registro de pacotes do Maven, o que poderia levar à escalada de privilégios e à execução remota de código sob certas condições. **Recomendações** Para as versões 11.3 a 12.5.3 do GitLab EE, atualize para uma versão que inclua os patches de segurança necessários para corrigir o problema de sanitização insuficiente de parâmetros. Para a versão 12.4.5 do GitLab EE, aplique as correções de segurança recomendadas para impedir a escalada de privilégios e a execução remota de código. Para a versão 12.3.8 do GitLab EE, considere restringir o acesso ao registro de pacotes do Maven até que um patch esteja disponível para mitigar o risco de exploração.

**Nome do software vulnerável e versões afetadas** GitLab Enterprise Edition (EE), versões 11.3 a 12.4.2 **Descrição** A vulnerabilidade permite o acesso a diretórios (Directory Traversal). Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 11.3 a 12.4.2 do Gitlab Enterprise Edition (EE), atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 8.18 up to 11.3.10 GitLab CE/EE versions 11.4 up to 11.4.7 GitLab CE/EE versions 11.5 up to 11.5.0 **Description** The issue is related to a Server-Side Request Forgery (SSRF) vulnerability in webhooks. This means an attacker could potentially forge requests to internal services, leading to unauthorized access or actions. **Recommendations** For versions 8.18 up to 11.3.10, update to version 11.3.11 or later. For versions 11.4 up to 11.4.7, update to version 11.4.8 or later. For versions 11.5 up to 11.5.0, update to version 11.5.1 or later.

Name of the Vulnerable Software and Affected Versions: GitLab Community and Enterprise Edition versions 11.0.0 through 11.3.12 GitLab Community and Enterprise Edition versions 11.4.0 through 11.4.10 GitLab Community and Enterprise Edition versions 11.5.0 through 11.5.3 Description: The issue is related to Incorrect Access Control. Recommendations: For GitLab Community and Enterprise Edition versions 11.0.0 through 11.3.12, update to version 11.3.13 or later. For GitLab Community and Enterprise Edition versions 11.4.0 through 11.4.10, update to version 11.4.11 or later. For GitLab Community and Enterprise Edition versions 11.5.0 through 11.5.3, update to version 11.5.4 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 11.3.x through 11.3.11 GitLab CE/EE versions 11.4.x through 11.4.9 GitLab CE/EE versions 11.5.x through 11.5.2 **Description** The issue allows Directory Traversal in Templates API. **Recommendations** For GitLab CE/EE versions 11.3.x through 11.3.11, update to version 11.3.12 or later. For GitLab CE/EE versions 11.4.x through 11.4.9, update to version 11.4.10 or later. For GitLab CE/EE versions 11.5.x through 11.5.2, update to version 11.5.3 or later.