PT-2024-10152 · Gitlab · Gitlab
Joaxcaron
·
Publicado
2024-10-09
·
Atualizado
2025-07-11
·
CVE-2024-8647
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitLab 15.2 a 17.4.6
Versões do GitLab 17.5 a 17.5.4
Versões do GitLab 17.6 a 17.6.2
Descrição
A vulnerabilidade está relacionada a um problema no GitLab que permite um ataque de falsificação de solicitação entre sites (CSRF). Isso pode ser explorado por um invasor remoto para vazar o token anti-CSRF para um site externo quando a integração com o Harbor está habilitada. A vulnerabilidade afeta instalações auto-hospedadas do GitLab.
Recomendações
Para as versões do GitLab 15.2 a 17.4.6, atualize para uma versão posterior à 17.4.6 para resolver o problema.
Para as versões do GitLab 17.5 a 17.5.4, atualize para uma versão posterior à 17.5.4 para resolver o problema.
Para as versões do GitLab 17.6 a 17.6.2, atualize para uma versão posterior à 17.6.2 para resolver o problema.
Como solução alternativa temporária, considere desativar a integração com o Harbor até que um patch esteja disponível.
Exploit
Correção
Path traversal
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab