PT-2024-4308 · Gitlab+1 · Gitlab Ce/Ee+2
Joaxcaron
·
Publicado
2024-06-12
·
Atualizado
2024-08-30
·
CVE-2024-1963
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 8.4 a 16.10.7 do GitLab CE/EE
Versões 16.11 a 16.11.4 do GitLab CE/EE
Versões 17.0 a 17.0.2 do GitLab CE/EE
Descrição
Uma vulnerabilidade na integração do GitLab com o Asana permitia que um invasor causasse potencialmente uma negação de serviço por expressão regular ao enviar solicitações especialmente criadas. Esse problema está relacionado ao consumo descontrolado de recursos, que pode ser explorado por um invasor remoto para causar uma negação de serviço usando solicitações especialmente criadas.
Recomendações
Para as versões 8.4 a 16.10.7, atualize para a versão 16.10.7 ou posterior.
Para as versões 16.11 a 16.11.4, atualize para a versão 16.11.4 ou posterior.
Para as versões 17.0 a 17.0.2, atualize para a versão 17.0.2 ou posterior.
Como solução alternativa temporária, considere desativar a integração com o Asana até que um patch esteja disponível.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Asana
Gitlab
Gitlab Ce/Ee