Gitlab · Gitlab Ce/Ee · CVE-2024-10240
Nome do software vulnerável e versões afetadas:
GitLab EE, versões 17.3 a 17.3.7
Versões do GitLab EE 17.4 a 17.4.4
Versões do GitLab EE 17.5 a 17.5.2
Versões do GitLab CE 17.3 a 17.3.7
Versões do GitLab CE 17.4 a 17.4.4
Versões do GitLab CE 17.5 a 17.5.2
Descrição:
A vulnerabilidade está relacionada à divulgação de dados do sistema a usuários não autorizados em uma área controlada. Um usuário não autenticado pode, em determinadas circunstâncias, ler algumas informações sobre uma solicitação de mesclagem em um projeto privado. A codificação inadequada da saída pode levar a um ataque XSS se a Política de Segurança de Conteúdo (CSP) não estiver habilitada.
Recomendações:
Para as versões 17.3 a 17.3.7 do GitLab EE, atualize para a versão 17.3.7 ou posterior.
Para as versões 17.4 a 17.4.4 do GitLab EE, atualize para a versão 17.4.4 ou posterior.
Para as versões 17.5 a 17.5.2 do GitLab EE, atualize para a versão 17.5.2 ou posterior.
Para as versões 17.3 a 17.3.7 do GitLab CE, atualize para a versão 17.3.7 ou posterior.
Para as versões 17.4 a 17.4.4 do GitLab CE, atualize para a versão 17.4.4 ou posterior.
Para as versões 17.5 a 17.5.2 do GitLab CE, atualize para a versão 17.5.2 ou posterior.
Como solução alternativa temporária, considere habilitar a Política de Segurança de Conteúdo (CSP) para minimizar o risco de exploração de XSS.