PT-2024-1483 · Gitlab · Gitlab Ce/Ee+1
Yvvdwf
·
Publicado
2024-01-25
·
Atualizado
2024-03-06
·
CVE-2023-5933
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 13.7 a 16.6.5
GitLab CE/EE versões 16.7 a 16.7.3
GitLab CE/EE versões 16.8 a 16.8.0
Descrição
Foi descoberta uma vulnerabilidade no GitLab CE/EE devido à sanitização inadequada da entrada do
nome de usuário, permitindo solicitações PUT arbitrárias na API. Isso poderia permitir que um invasor remoto executasse solicitações PUT arbitrárias na API.Recomendações
Para as versões 13.7 a 16.6.5 do GitLab CE/EE, atualize para a versão 16.6.6 ou posterior.
Para as versões 16.7 a 16.7.3 do GitLab CE/EE, atualize para a versão 16.7.4 ou posterior.
Para as versões 16.8 a 16.8.0 do GitLab CE/EE, atualize para a versão 16.8.1 ou posterior.
Como solução temporária, considere restringir o acesso a pontos de extremidade da API que aceitem solicitações PUT até que um patch esteja disponível.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee