CVE-2024-1250

Nome do software vulnerável e versões afetadas:

GitLab EE, versões 16.8 a 16.8.2

Descrição:

O problema está relacionado a uma gestão insegura de privilégios no GitLab EE. Quando uma função personalizada com a permissão manage group access tokens é atribuída a um usuário, este pode criar tokens de acesso de grupo com privilégios de Proprietário, o que leva à escalada de privilégios. Isso poderia permitir que um invasor remoto elevasse seus privilégios.

Recomendações:

Para as versões 16.8 a 16.8.2 do GitLab EE, considere desativar a função personalizada com a permissão manage group access tokens até que um patch esteja disponível para evitar uma possível escalada de privilégios. Restrinja o acesso aos tokens de acesso de grupo para minimizar o risco de exploração. Evite atribuir a permissão manage group access tokens a usuários que não a necessitem. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.