CVE-2024-4099

Nome do software vulnerável e versões afetadas:

GitLab EE versões 16.0 a 17.2.7

GitLab EE versões 17.3 a 17.3.3

GitLab EE versões 17.4 a 17.4.0

Descrição:

Foi descoberta uma falha no GitLab EE que afeta o recurso de IA, o qual lê conteúdo não sanitizado. Isso poderia ter permitido que um invasor ocultasse a injeção de prompt, afetando potencialmente a integridade dos dados. A vulnerabilidade está relacionada à falta de um mecanismo de codificação de saída ou sanitização no recurso de IA da plataforma GitLab.

Recomendações:

Para as versões 16.0 a 17.2.7 do GitLab EE, atualize para a versão 17.2.8 ou posterior.

Para as versões 17.3 a 17.3.3 do GitLab EE, atualize para a versão 17.3.4 ou posterior.

Para as versões 17.4 a 17.4.0 do GitLab EE, atualize para a versão 17.4.1 ou posterior.

Como solução alternativa temporária, considere desativar o recurso de IA até que um patch esteja disponível. Restrinja o acesso ao recurso de IA para minimizar o risco de exploração. Evite usar o recurso de IA em ambientes sensíveis até que o problema seja resolvido.