PT-2024-5349 · Gitlab · Gitlab Ce/Ee+1
Ashish_R_Padelkar
·
Publicado
2024-07-10
·
Atualizado
2024-07-13
·
CVE-2024-2880
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 16.5 a 16.11.6
GitLab CE/EE versões 17.0 a 17.0.4
GitLab CE/EE versões 17.1 a 17.1.2
Descrição
A vulnerabilidade está relacionada ao controle de acesso insuficiente na função
admin group member do componente Group Member Handler no GitLab. Isso pode permitir que um invasor remoto banir membros arbitrários do grupo. Um usuário com a permissão de função personalizada admin group member pode explorar essa vulnerabilidade.Recomendações
Para as versões 16.5 a 16.11.6 do GitLab CE/EE, atualize para a versão 16.11.6 ou posterior.
Para as versões 17.0 a 17.0.4 do GitLab CE/EE, atualize para a versão 17.0.4 ou posterior.
Para as versões 17.1 a 17.1.2 do GitLab CE/EE, atualize para a versão 17.1.2 ou posterior.
Como solução alternativa temporária, considere restringir a permissão da função personalizada
admin group member para minimizar o risco de exploração.Exploit
Correção
Improper Access Control
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee