PT-2024-7877 · Gitlab · Gitlab Ce/Ee+1
Sim4N6
·
Publicado
2024-09-11
·
Atualizado
2024-09-17
·
CVE-2024-8124
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
GitLab CE/EE versões 16.4 a 17.1.7
GitLab CE/EE versões 17.2 a 17.2.5
GitLab CE/EE versões 17.3 a 17.3.2
Descrição
A vulnerabilidade está relacionada ao uso de uma expressão regular com complexidade computacional ineficiente no GitLab, uma plataforma de software baseada em git para trabalho colaborativo de código. A exploração da vulnerabilidade poderia permitir que um invasor remoto causasse uma negação de serviço enviando uma solicitação POST específica, potencialmente por meio de um parâmetro
glm source de grande porte.Recomendações
Para as versões 16.4 a 17.1.7 do GitLab CE/EE, atualize para a versão 17.1.7 ou posterior.
Para as versões 17.2 a 17.2.5 do GitLab CE/EE, atualize para a versão 17.2.5 ou posterior.
Para as versões 17.3 a 17.3.2 do GitLab CE/EE, atualize para a versão 17.3.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao parâmetro
glm source no endpoint da API afetado até que um patch esteja disponível.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee