CVE-2024-0402

Versões do GitLab 16.0 a 16.5.7

Versões do GitLab 16.6 a 16.6.5

Versões do GitLab 16.7 a 16.7.3

Versões do GitLab 16.8 a 16.8.0

A vulnerabilidade está relacionada a uma restrição incorreta do nome do caminho para um diretório com acesso limitado. Isso permite que um usuário autenticado grave arquivos em locais arbitrários no servidor GitLab ao criar um espaço de trabalho. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Os detalhes técnicos sobre a exploração incluem a capacidade de gravar arquivos arbitrários ao criar um espaço de trabalho. Nenhum endpoint de API específico, parâmetro vulnerável ou nome de função é mencionado nas descrições fornecidas.

Para as versões do GitLab 16.0 a 16.5.7, atualize para a versão 16.5.8 ou posterior.

Para as versões do GitLab 16.6 a 16.6.5, atualize para a versão 16.6.6 ou posterior.

Para as versões do GitLab 16.7 a 16.7.3, atualize para a versão 16.7.4 ou posterior.

Para as versões do GitLab 16.8 a 16.8.0, atualize para a versão 16.8.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao recurso de criação de espaço de trabalho até que um patch esteja disponível.