Ppee

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitLab CE/EE de 16.11 até 18.3.2 **Descrição** Foi descoberto um problema no GitLab CE/EE que permite a usuários autenticados realizar solicitações internas não intencionais através de ambientes de proxy injetando sequências manipuladas. A vulnerabilidade reside no tratamento de cabeçalhos de webhook, potencialmente expondo endpoints internos. Estima-se que aproximadamente 37% das instâncias do GitLab na Runet sejam potencialmente afetadas, representando cerca de 30.000 instâncias ativas. A exploração é possível a partir da função 'Developer' e não requer interação do usuário. Os indicadores de comprometimento incluem solicitações com cabeçalhos HTTP não padrão e chamadas internas para APIs de proxy/metadados/locais. **Recomendações** Atualize o GitLab para a versão 18.1.6, 18.2.6 ou 18.3.2 ou superior. Verifique as configurações de webhook e remova ou restrinja a capacidade de usar cabeçalhos HTTP não padrão, especialmente se forem controlados pelo usuário. Se o GitLab estiver implantado atrás de um proxy reverso ou em uma infraestrutura de rede complexa, limite os recursos internos que o GitLab pode acessar.

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitLab CE/EE 5.2 até 18.2.8 Versões do GitLab CE/EE 18.3 até 18.3.4 Versões do GitLab CE/EE 18.4 até 18.4.2 **Descrição** Um atacante autenticado poderia causar uma condição de negação de serviço ao configurar endpoints de webhook maliciosos que enviam respostas HTTP manipuladas. **Recomendações** Atualize o GitLab CE/EE para a versão 18.2.9 ou posterior. Atualize o GitLab CE/EE para a versão 18.3.5 ou posterior. Atualize o GitLab CE/EE para a versão 18.4.3 ou posterior.