PT-2024-15381 · Gitlab · Gitlab
Ali_Shehab
·
Publicado
2024-03-07
·
Atualizado
2024-12-11
·
CVE-2024-0199
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GitLab 11.3 a 16.7.6
Versões do GitLab 16.7.6 a 16.8.3
Versões do GitLab 16.8.3 a 16.9.1
Descrição
Foi descoberta uma vulnerabilidade de contorno de autorização no GitLab, permitindo que um invasor contorne os CODEOWNERS utilizando uma carga maliciosa criada em um branch de recurso antigo para realizar ações maliciosas. Esse problema expõe potencialmente dados financeiros ou código. Aproximadamente 509.862 dispositivos estão potencialmente afetados, distribuídos principalmente na China e nos Estados Unidos.
Recomendações
Para as versões do GitLab 11.3 a 16.7.6, atualize para a versão 16.7.7 para corrigir a vulnerabilidade.
Para as versões do GitLab 16.7.6 a 16.8.3, atualize para a versão 16.8.4 para corrigir a vulnerabilidade.
Para as versões do GitLab 16.8.3 a 16.9.1, atualize para a versão 16.9.2 para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso a ramos de recursos antigos para minimizar o risco de exploração.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab