PT-2024-5507 · Gitlab+1 · Gitlab Ce/Ee+2
Publicado
2024-08-07
·
Atualizado
2024-08-29
·
CVE-2024-7610
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 15.9 a 17.0.5
GitLab CE/EE versão 17.1 anterior à 17.1.4
GitLab CE/EE versão 17.2 anterior à 17.2.2
Descrição
Foi descoberta uma condição de Negação de Serviço (DoS) no GitLab CE/EE. É possível que um invasor provoque um backtracking catastrófico durante a análise dos resultados do Elasticsearch, levando a um consumo descontrolado de recursos durante o processamento dos resultados da pesquisa. Isso pode permitir que um invasor remoto provoque uma negação de serviço.
Recomendações
Para as versões 15.9 a 17.0.5 do GitLab CE/EE, atualize para a versão 17.0.6 ou posterior para resolver o problema.
Para a versão 17.1 do GitLab CE/EE anterior à 17.1.4, atualize para a versão 17.1.4 ou posterior para resolver o problema.
Para o GitLab CE/EE versão 17.2 anterior à 17.2.2, atualize para a versão 17.2.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos resultados do Elasticsearch para minimizar o risco de exploração.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elasticsearch
Gitlab
Gitlab Ce/Ee