PT-2024-1477 · Gitlab · Gitlab Ce/Ee+1
Yvvdwf
·
Publicado
2024-01-25
·
Atualizado
2024-03-06
·
CVE-2023-6159
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 12.7 a 16.6.5 do GitLab CE/EE
Versões 16.7 a 16.7.3 do GitLab CE/EE
Versões 16.8 a 16.8.0 do GitLab CE/EE
Descrição
Foi descoberta uma vulnerabilidade no GitLab CE/EE, na qual é possível que um invasor provoque uma negação de serviço por expressão regular (Regular Expression Denial of Service) por meio de um arquivo
Cargo.toml contendo entrada criada de forma maliciosa. Isso está relacionado ao uso de uma expressão regular com complexidade computacional ineficiente. A exploração dessa vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço.Recomendações
Para as versões 12.7 a 16.6.5 do GitLab CE/EE, atualize para a versão 16.6.6 ou posterior.
Para as versões 16.7 a 16.7.3 do GitLab CE/EE, atualize para a versão 16.7.4 ou posterior.
Para as versões 16.8 a 16.8.0 do GitLab CE/EE, atualize para a versão 16.8.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos arquivos
Cargo.toml para minimizar o risco de exploração.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee