Pwnie

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitLab CE/EE 13.12 até 18.2.8 Versões do GitLab CE/EE 18.3 até 18.3.4 Versões do GitLab CE/EE 18.4 até 18.4.2 **Descrição** O software está suscetível a uma condição de negação de serviço desencadeada por consultas GraphQL manipuladas que solicitam blobs grandes do repositório. Isso pode levar a instância do GitLab a ficar indisponível ou severamente degradada. O problema afeta a API GraphQL. **Recomendações** Atualize o GitLab CE/EE para uma versão posterior à 18.2.8. Atualize o GitLab CE/EE para uma versão posterior à 18.3.4. Atualize o GitLab CE/EE para uma versão posterior à 18.4.2.

Nome do Software Vulnerável e Versões Afetadas: Versões do GitLab CE/EE 10.7 até 18.1.5 Versões do GitLab CE/EE 18.2 até 18.2.5 Versões do GitLab CE/EE 18.3 até 18.3.1 Descrição: Existe uma falha no GitLab CE/EE que permite a usuários autenticados interromper o acesso às listagens de tokens e operações administrativas relacionadas ao criar tokens com nomes excessivamente grandes. Recomendações: As versões do GitLab CE/EE anteriores à 18.1.6 devem ser atualizadas. As versões do GitLab CE/EE anteriores à 18.2.6 devem ser atualizadas. As versões do GitLab CE/EE anteriores à 18.3.2 devem ser atualizadas.

Nome do Software Vulnerável e Versões Afetadas: Versões do GitLab CE/EE 7.8 até 18.1.5 Versões do GitLab CE/EE 18.2 até 18.2.5 Versões do GitLab CE/EE 18.3 até 18.3.1 Descrição: Um usuário autenticado com acesso de nível Desenvolvedor poderia causar uma negação de serviço persistente afetando todos os usuários em uma instância do GitLab ao enviar arquivos grandes. Recomendações: Atualize o GitLab CE/EE para a versão 18.1.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.2.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.3.2 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do GitLab CE/EE de 15.0 a 18.1.5 Versões do GitLab CE/EE de 18.2 a 18.2.5 Versões do GitLab CE/EE de 18.3 a 18.3.1 Descrição: Existe uma falha no GitLab CE/EE que poderia permitir que um usuário autenticado interrompesse o processamento de tarefas em segundo plano ao enviar mensagens de commit, descrições de merge request ou notas especialmente elaboradas. Recomendações: Atualize o GitLab CE/EE para a versão 18.1.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.2.6 ou posterior. Atualize o GitLab CE/EE para a versão 18.3.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** GitLab CE/EE versões 17.1 a 17.5 **Descrição** Foi identificado um problema no GitLab CE/EE que permite a um invasor com a função de mantenedor disparar um pipeline como o proprietário do projeto em determinadas circunstâncias. **Recomendações** Para as versões 17.1 a 17.5, atualize para a versão 17.6.0 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitLab CE/EE 15.5 até 17.5.5 Versões do GitLab CE/EE 17.6 até 17.6.3 Versões do GitLab CE/EE 17.7 até 17.7.1 **Descrição** Foi descoberto um problema no GitLab CE/EE em que usuários não autorizados podiam manipular o status de issues em projetos públicos. **Recomendações** Para as versões 15.5 até 17.5.5, atualize para a versão 17.5.5 ou posterior. Para as versões 17.6 até 17.6.3, atualize para a versão 17.6.3 ou posterior. Para as versões 17.7 até 17.7.1, atualize para a versão 17.7.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 12.5 a 17.2.9 Versões do GitLab EE 17.3 a 17.3.5 Versões do GitLab EE 17.4 a 17.4.2 **Descrição** O problema está relacionado a erros no controle de acesso, permitindo que um invasor remoto execute pipelines de Integração Contínua/Entrega Contínua (CI/CD) em ramificações arbitrárias de um repositório. Estima-se que mais de 4,1 milhões de serviços estejam potencialmente afetados. A vulnerabilidade pode ser explorada por usuários não autorizados, representando um risco de segurança significativo para os fluxos de trabalho de TI. **Recomendações** Para as versões 12.5 a 17.2.9 do GitLab EE, atualize para a versão 17.2.9 ou posterior. Para as versões 17.3 a 17.3.5 do GitLab EE, atualize para a versão 17.3.5 ou posterior. Para as versões 17.4 a 17.4.2 do GitLab EE, atualize para a versão 17.4.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso aos pipelines de CI/CD para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 16.9 do GitLab CE/EE anteriores à 16.9.6 Versões 16.10 do GitLab CE/EE anteriores à 16.10.4 Versões 16.11 do GitLab CE/EE anteriores à 16.11.1 **Descrição** O problema está relacionado à limitação incorreta do nome do caminho para um diretório com acesso restrito, o que poderia permitir que um invasor remoto divulgasse informações protegidas ou causasse uma negação de serviço. A vulnerabilidade está associada à traversal de caminho e pode levar à leitura restrita de arquivos e à negação de serviço. **Recomendações** Para o GitLab CE/EE versão 16.9 anterior à 16.9.6, atualize para a versão 16.9.6 ou posterior. Para o GitLab CE/EE versão 16.10 anterior à 16.10.4, atualize para a versão 16.10.4 ou posterior. Para o GitLab CE/EE versão 16.11 anterior à 16.11.1, atualize para a versão 16.11.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 16.0 through 16.0.5 GitLab EE versions 16.1 through 16.1.0 **Description** A sensitive information leak issue has been discovered, allowing access to titles of private issues and merge requests. **Recommendations** For GitLab EE versions 16.0 through 16.0.5, update to version 16.0.6 or later. For GitLab EE versions 16.1 through 16.1.0, update to version 16.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab CE/EE versions 13.10 through 15.11.10 GitLab CE/EE versions 16.0 through 16.0.6 GitLab CE/EE versions 16.1 through 16.1.1 **Description** An issue has been discovered in GitLab CE/EE that may allow users to view new commits to private projects in a fork created while the project was public. **Recommendations** For versions 13.10 through 15.11.10, update to version 15.11.10 or later. For versions 16.0 through 16.0.6, update to version 16.0.6 or later. For versions 16.1 through 16.1.1, update to version 16.1.1 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 16.0.0 **Description** The issue is related to a path traversal vulnerability that allows an unauthenticated malicious user to read arbitrary files on the server when an attachment exists in a public project nested within at least five groups. This vulnerability can be exploited by a remote attacker to gain unauthorized access to protected information. The vulnerability is caused by incorrect restriction of the path name to a directory with limited access. **Recommendations** For GitLab version 16.0.0, update to version 16.0.1 to resolve the issue. As a temporary workaround, consider restricting access to public projects with attachments nested within at least five groups until the update is applied. Avoid using attachments in public projects until the issue is resolved.