PT-2024-1047 · Gitlab · Gitlab Ce/Ee+1

Lotsofloops

·

Publicado

2024-01-11

·

Atualizado

2025-03-20

·

CVE-2023-2030

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:S/C:C/I:P/A:N
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 12.2 a 16.5.5
GitLab CE/EE versões 16.6 a 16.6.3
GitLab CE/EE versões 16.7 a 16.7.1
Descrição
O problema está relacionado à autenticação insuficiente de dados no GitLab, permitindo que um invasor remoto modifique os metadados de commits assinados. Isso poderia potencialmente levar a alterações não autorizadas no histórico de commits.
Recomendações
Para as versões 12.2 a 16.5.5 do GitLab CE/EE, atualize para a versão 16.5.6 ou posterior.
Para as versões 16.6 a 16.6.3 do GitLab CE/EE, atualize para a versão 16.6.4 ou posterior.
Para as versões 16.7 a 16.7.1 do GitLab CE/EE, atualize para a versão 16.7.2 ou posterior.

Exploit

Correção

Insufficient Verification of Data Authenticity

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-347

Identificadores relacionados

BDU:2024-00261
BIT-GITLAB-2023-2030
CVE-2023-2030

Produtos afetados

Gitlab
Gitlab Ce/Ee