PT-2024-8870 · Gitlab · Gitlab Ce/Ee+1
Patrick Bajao
·
Publicado
2024-11-13
·
Atualizado
2024-12-13
·
CVE-2024-10240
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas:
GitLab EE, versões 17.3 a 17.3.7
Versões do GitLab EE 17.4 a 17.4.4
Versões do GitLab EE 17.5 a 17.5.2
Versões do GitLab CE 17.3 a 17.3.7
Versões do GitLab CE 17.4 a 17.4.4
Versões do GitLab CE 17.5 a 17.5.2
Descrição:
A vulnerabilidade está relacionada à divulgação de dados do sistema a usuários não autorizados em uma área controlada. Um usuário não autenticado pode, em determinadas circunstâncias, ler algumas informações sobre uma solicitação de mesclagem em um projeto privado. A codificação inadequada da saída pode levar a um ataque XSS se a Política de Segurança de Conteúdo (CSP) não estiver habilitada.
Recomendações:
Para as versões 17.3 a 17.3.7 do GitLab EE, atualize para a versão 17.3.7 ou posterior.
Para as versões 17.4 a 17.4.4 do GitLab EE, atualize para a versão 17.4.4 ou posterior.
Para as versões 17.5 a 17.5.2 do GitLab EE, atualize para a versão 17.5.2 ou posterior.
Para as versões 17.3 a 17.3.7 do GitLab CE, atualize para a versão 17.3.7 ou posterior.
Para as versões 17.4 a 17.4.4 do GitLab CE, atualize para a versão 17.4.4 ou posterior.
Para as versões 17.5 a 17.5.2 do GitLab CE, atualize para a versão 17.5.2 ou posterior.
Como solução alternativa temporária, considere habilitar a Política de Segurança de Conteúdo (CSP) para minimizar o risco de exploração de XSS.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee