PT-2024-23914 · Gitlab · Gitlab Ce/Ee+1
0X777
·
Publicado
2024-08-22
·
Atualizado
2024-12-13
·
CVE-2024-3127
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitLab EE 12.5 a 17.1.6
Versões do GitLab EE 17.2 a 17.2.4
Versões do GitLab EE 17.3 a 17.3.1
Descrição
Foi descoberta uma vulnerabilidade no GitLab EE que pode permitir que usuários não autorizados contornem restrições de IP para grupos por meio do GraphQL sob certas condições, possibilitando que realizem algumas ações no nível do grupo.
Recomendações
Para as versões 12.5 a 17.1.6, atualize para a versão 17.1.6 ou posterior.
Para as versões 17.2 a 17.2.4, atualize para a versão 17.2.4 ou posterior.
Para as versões 17.3 a 17.3.1, atualize para a versão 17.3.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade do GraphQL para minimizar o risco de exploração.
Exploit
Correção
Improper Access Control
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee