Xanbanx

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 10.6 e posteriores **Descrição** A vulnerabilidade permite que, durante a exportação de um projeto, ocorra um vazamento do valor do token do webhook externo, o que pode conceder acesso ao projeto do qual a exportação foi realizada. **Recomendações** Para as versões 10.6 e posteriores do GitLab CE/EE, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GitLab anteriores à 13.1 **Descrição** Foi descoberta uma vulnerabilidade que permite contornar a restrição à importação de projetos do GitHub em determinadas condições. **Recomendações** Para versões anteriores à 13.1, atualize para a versão 13.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 10.3 a 13.0.1 **Descrição** A vulnerabilidade permite que outros mantenedores de grupo visualizem tokens de cluster do Kubernetes, o que pode levar a acesso não autorizado. **Recomendações** Para as versões 10.3 a 13.0.1 do GitLab CE/EE, atualize para uma versão posterior à 13.0.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 12.8 a 13.0.1 **Descrição** Uma vulnerabilidade de Stored Cross-Site Scripting permitia a execução de cargas de Javascript no Painel de Métricas. **Recomendações** Para as versões 12.8 a 13.0.1 do GitLab CE/EE, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GitLab EE/CE versões 8.17 a 12.9 **Descrição** O problema diz respeito ao vazamento de informações ao consultar um widget de solicitação de mesclagem. **Recomendações** Para as versões 8.17 a 12.9 do GitLab EE/CE, atualize para uma versão que contenha uma correção para este problema, a fim de evitar o vazamento de informações.

**Nome do software vulnerável e versões afetadas** GitLab EE/CE, versões 11.10 a 12.9 **Descrição** O problema está relacionado ao vazamento de informações sobre métricas restritas de pipelines de CI para usuários não autorizados. **Recomendações** Para as versões 11.10 a 12.9 do GitLab EE/CE, atualize para uma versão que contenha uma correção para este problema, a fim de evitar o vazamento de informações.

**Nome do software vulnerável e versões afetadas** Versões do GitLab de 12.1 a 12.8.1 **Descrição** Foi detectada uma vulnerabilidade de cross-site scripting em uma visualização específica relacionada à integração com o Grafana, permitindo uma possível exploração. **Recomendações** Para as versões 12.1 a 12.8.1, atualize para uma versão que contenha uma correção para essa vulnerabilidade, a fim de evitar uma possível exploração de cross-site scripting.

**Nome do software vulnerável e versões afetadas** Versões do GitLab 12.3.5 a 12.8.1 **Descrição** A vulnerabilidade permite a divulgação de informações. Uma determinada visualização estava expondo títulos de solicitações de fusão privadas. **Recomendações** Para as versões do GitLab 12.3.5 a 12.8.1, atualize para uma versão que contenha uma correção para este problema, a fim de evitar a divulgação de informações. Como solução temporária, considere restringir o acesso à visualização que expõe os títulos de solicitações de mesclagem privadas até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 9.0 a 12.0.2 Descrição: Foi identificada uma falha que permite que usuários com acesso a issues, mas não ao repositório, visualizem o número de solicitações de mesclagem relacionadas a um issue. Isso se deve a um controle de acesso incorreto. Recomendações: Para as versões 9.0 a 12.0.2 do GitLab Community e Enterprise Edition, atualize para uma versão que contenha uma correção para este problema, a fim de impedir o acesso não autorizado às solicitações de mesclagem relacionadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GitLab Enterprise Edition e Community Edition, versões 1.10 a 12.0.2 Descrição: Foi descoberta uma falha no serviço GitLab graphql, que estava vulnerável a várias falhas de autorização. Essas falhas expunham metadados restritos de usuários, grupos e repositórios a usuários não autorizados devido a um controle de acesso incorreto. Recomendações: Para as versões 1.10 a 12.0.2, atualize para uma versão que inclua a correção das falhas de autorização no serviço GitLab graphql para evitar a exposição de metadados restritos a usuários não autorizados.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 11.10 a 12.0.2 Descrição: Foi descoberta uma falha que permite que usuários não autorizados leiam informações do pipeline da última solicitação de mesclagem devido a um controle de acesso incorreto. Recomendações: Para as versões 11.10 a 12.0.2 do GitLab Community e Enterprise Edition, atualize para uma versão que contenha uma correção para essa falha, a fim de impedir o acesso não autorizado às informações do pipeline. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: GitLab Community e Enterprise Edition, versões 8.13 a 11.11 Descrição: Foi identificada uma falha que permite que usuários com privilégios restritos acessem os metadados de marcos privados por meio da API de Pesquisa, o que constitui um caso de controle de acesso inadequado. Recomendações: Para as versões 8.13 a 11.11 do GitLab Community e Enterprise Edition, considere restringir o acesso à API de Pesquisa até que uma correção esteja disponível. Como solução alternativa temporária, limite a visibilidade dos marcos privados para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GitLab de 10.7 a 12.7.2 **Descrição** O problema está relacionado a um controle de acesso incorreto. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões do GitLab 10.7 a 12.7.2, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 8.0 a 12.7.2 do GitLab EE **Descrição** A vulnerabilidade permite a divulgação de informações. **Recomendações** Para as versões 8.0 a 12.7.2 do GitLab EE, atualize para uma versão que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE de 12.4 a 12.7.2 **Descrição** O problema está relacionado a um controle de acesso incorreto. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 12.4 a 12.7.2 do GitLab EE, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GitLab Community Edition (CE) e Enterprise Edition (EE), versão 12.6 **Descrição** Foi descoberta uma falha no GitLab relacionada a um controle de acesso incorreto. **Recomendações** Para o GitLab Community Edition (CE) e Enterprise Edition (EE) versão 12.6, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa falha.

**Nome do software vulnerável e versões afetadas** Versões 8.4 a 12.5 do GitLab EE Versão 12.4.3 do GitLab EE Versão 12.3.6 do GitLab EE **Descrição** O problema diz respeito ao armazenamento de vários tokens em texto simples. **Recomendações** Para as versões 8.4 a 12.5 do GitLab EE, atualize para uma versão que não armazene tokens em texto simples. Para a versão 12.4.3 do GitLab EE, atualize para uma versão que não armazene tokens em texto simples. Para a versão 12.3.6 do GitLab EE, atualize para uma versão que não armazene tokens em texto simples.

Name of the Vulnerable Software and Affected Versions: GitLab Community and Enterprise Edition versions prior to 11.4.13 GitLab Community and Enterprise Edition versions 11.5.x prior to 11.5.6 GitLab Community and Enterprise Edition versions 11.6.x prior to 11.6.1 Description: The issue is related to Incorrect Access Control. Recommendations: For versions prior to 11.4.13, update to version 11.4.13 or later. For versions 11.5.x prior to 11.5.6, update to version 11.5.6 or later. For versions 11.6.x prior to 11.6.1, update to version 11.6.1 or later.

**Name of the Vulnerable Software and Affected Versions** gitlab versions prior to 12.3.2 gitlab versions prior to 12.2.6 gitlab versions prior to 12.1.10 **Description** An information exposure issue exists when using the blocking merge request feature. It allows an unauthenticated user to see the head pipeline data of a public project, even though pipeline visibility was restricted. **Recommendations** For versions prior to 12.3.2, update to version 12.3.2 or later to resolve the issue. For versions prior to 12.2.6, update to version 12.2.6 or later to resolve the issue. For versions prior to 12.1.10, update to version 12.1.10 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** GitLab versions prior to 12.3.3 **Description** An issue exists that allows an attacker to bypass access controls and obtain container and dependency scanning reports through the merge request widget, even when public pipelines are disabled. **Recommendations** For versions prior to 12.3.3, update to version 12.3.3 or later to resolve the issue.