PT-2024-6747 · Gitlab · Gitlab Ce/Ee+1
Js_Noob
·
Publicado
2024-05-28
·
Atualizado
2024-06-28
·
CVE-2024-5430
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas:
GitLab CE/EE versões 16.10 a 16.11.5
GitLab CE/EE versões 17.0 a 17.0.3
GitLab CE/EE versões 17.1 a 17.1.1
Descrição:
O problema está relacionado ao controle de acesso insuficiente na implementação da interface de programação de aplicativos (API) da plataforma GitLab para trabalho colaborativo de código. Isso pode permitir que um invasor remoto obtenha acesso para ler, modificar ou excluir dados. Especificamente, um mantenedor de projeto pode excluir a política de aprovação de solicitações de mesclagem via
graphQL.Recomendações:
Para as versões 16.10 a 16.11.5, atualize para a versão 16.11.5 ou posterior.
Para as versões 17.0 a 17.0.3, atualize para a versão 17.0.3 ou posterior.
Para as versões 17.1 a 17.1.1, atualize para a versão 17.1.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
graphQL para minimizar o risco de exploração.Exploit
Correção
Improper Access Control
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee