CVE-2024-3115

Nome do software vulnerável e versões afetadas:

Versões do GitLab EE 16.0 a 16.11.4

Versões do GitLab EE 17.0 a 17.0.2

Versões do GitLab EE 17.1 a 17.1.0

Descrição:

A vulnerabilidade permite que um invasor acesse issues e epics sem possuir uma sessão de SSO (Single Sign-On) ao usar o Duo Chat. Isso está relacionado à proteção insuficiente dos dados de serviço no mecanismo de autenticação de logon único (SSO) da interface web do GitLab Duo Chat. A exploração dessa vulnerabilidade pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas usando os módulos Epics e Issues.

Recomendações:

Para as versões 16.0 a 16.11.4, atualize para a versão 16.11.5 ou posterior.

Para as versões 17.0 a 17.0.2, atualize para a versão 17.0.3 ou posterior.

Para as versões 17.1 a 17.1.0, atualize para a versão 17.1.1 ou posterior.

Como solução alternativa temporária, considere desativar a funcionalidade do Duo Chat até que um patch esteja disponível.

Restrinja o acesso aos módulos Epics e Issues para minimizar o risco de exploração.