PT-2024-6938 · Gitlab · Gitlab Ce/Ee+1
Joaxcaron
·
Publicado
2024-10-09
·
Atualizado
2024-10-16
·
CVE-2024-8977
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitLab EE 15.10 a 17.2.8
Versões do GitLab EE 17.3 a 17.3.4
Versões do GitLab EE 17.4 a 17.4.1
Descrição
Foi descoberta uma vulnerabilidade no GitLab EE que poderia permitir que um invasor remoto realizasse um ataque de falsificação de solicitação do lado do servidor (SSRF). Essa vulnerabilidade está relacionada à validação insuficiente de solicitações recebidas. Instâncias com o Painel de Análise de Produtos configurado e ativado estão vulneráveis a ataques SSRF.
Recomendações
Para as versões 15.10 a 17.2.8 do GitLab EE, atualize para a versão 17.2.9.
Para as versões 17.3 a 17.3.4 do GitLab EE, atualize para a versão 17.3.5.
Para as versões 17.4 a 17.4.1 do GitLab EE, atualize para a versão 17.4.2.
Como solução alternativa temporária, considere desativar o Painel de Análise de Produtos até que um patch esteja disponível. Restrinja o acesso ao Painel de Análise de Produtos para minimizar o risco de exploração.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee