PT-2024-1869 · Gitlab · Gitlab Ce/Ee+1
Yvvdwfon
·
Publicado
2024-02-12
·
Atualizado
2024-03-06
·
CVE-2024-1451
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 16.9 a 16.9.0
Descrição
O problema está relacionado à falta de proteção da estrutura da página da web ao lidar com a página de perfil do usuário, permitindo um ataque XSS armazenado no lado do cliente. Isso poderia permitir que um invasor remoto realizasse ações arbitrárias em nome das vítimas, adicionando uma carga maliciosa à página de perfil do usuário.
Recomendações
Para as versões 16.9 a 16.9.0 do GitLab CE/EE, atualize para a versão 16.9.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de perfil do usuário até que a atualização seja aplicada. Evite usar a página de perfil do usuário para operações confidenciais até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee