PT-2024-1870 · Gitlab · Gitlab Ce/Ee+1
Them4Les_L1Ron
·
Publicado
2024-01-24
·
Atualizado
2024-10-03
·
CVE-2024-0861
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 16.4 a 16.7.5 do GitLab EE
Versões 16.8 a 16.8.2 do GitLab EE
Versões 16.9 a 16.9.0 do GitLab EE
Descrição
Foi descoberta uma falha no GitLab EE, na qual usuários com a função
Convidado podem alterar as configurações de Projetos de painel personalizados, contrariando suas permissões. Isso está relacionado a deficiências no procedimento de autorização, que podem ser exploradas por um invasor remoto para modificar as configurações dos projetos de painel personalizados.Recomendações
Para as versões 16.4 a 16.7.5 do GitLab EE, atualize para a versão 16.7.6 ou posterior.
Para as versões 16.8 a 16.8.2 do GitLab EE, atualize para a versão 16.8.3 ou posterior.
Para as versões 16.9 a 16.9.0 do GitLab EE, atualize para a versão 16.9.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso da função
Guest às configurações de Projetos de painel personalizados até que um patch esteja disponível.Exploit
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee