PT-2024-1686 · Gitlab · Gitlab Ce/Ee+1
Js_Noob
·
Publicado
2024-02-07
·
Atualizado
2024-10-03
·
CVE-2023-6840
CVSS v2.0
8.0
Alta
| Vetor | AV:N/AC:L/Au:M/C:P/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do GitLab EE 16.4 a 16.6.7
Versões do GitLab EE 16.7 a 16.7.5
Versões do GitLab EE 16.8 a 16.8.2
Descrição
A vulnerabilidade permite que um mantenedor altere o nome de um branch protegido, contornando a política de segurança adicionada para bloquear solicitações de mesclagem. Isso está relacionado a um controle de acesso insuficiente na plataforma GitLab. Um invasor poderia explorar essa vulnerabilidade para contornar remotamente as restrições de segurança existentes.
Recomendações
Para as versões 16.4 a 16.6.7 do GitLab EE, atualize para a versão 16.6.7 ou posterior.
Para as versões 16.7 a 16.7.5 do GitLab EE, atualize para a versão 16.7.5 ou posterior.
Para as versões 16.8 a 16.8.2 do GitLab EE, atualize para a versão 16.8.2 ou posterior.
Exploit
Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee