PT-2024-5344 · Gitlab · Gitlab Ce/Ee+1
Ameya Darshan
·
Publicado
2024-07-10
·
Atualizado
2024-08-30
·
CVE-2024-6595
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 11.8 a 16.11.6 do GitLab CE/EE
Versões 17.0 a 17.0.4 do GitLab CE/EE
Versões 17.1 a 17.1.2 do GitLab CE/EE
Descrição
Foi descoberta uma vulnerabilidade que permitia o upload de um pacote NPM com dados conflitantes. Essa vulnerabilidade está relacionada a um elemento de caminho de pesquisa não controlado. A exploração dessa vulnerabilidade pode permitir que um invasor remoto faça o upload de um pacote com dados conflitantes.
Recomendações
Para as versões 11.8 a 16.11.6, atualize para uma versão posterior à 16.11.6 para resolver o problema.
Para as versões 17.0 a 17.0.4, atualize para uma versão posterior à 17.0.4 para resolver o problema.
Para as versões 17.1 a 17.1.2, atualize para uma versão posterior à 17.1.2 para resolver o problema.
Como solução alternativa temporária, considere restringir o upload de pacotes NPM até que um patch esteja disponível.
Exploit
Correção
Untrusted Search Path
UI Misrepresentation of Critical Information
Unrestricted File Upload
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee