CVE-2024-8312

Nome do software vulnerável e versões afetadas:

GitLab CE/EE versões 15.10 a 17.3.5

GitLab CE/EE versões 17.4 a 17.4.2

GitLab CE/EE versões 17.5 a 17.5.0

Descrição:

Foi descoberta uma vulnerabilidade no GitLab CE/EE que poderia permitir que um invasor injetasse HTML no campo de Pesquisa Global em uma visualização de diferenças, levando a ataques de cross-site scripting (XSS). Isso está relacionado à falta de medidas de proteção para a estrutura da página da web, o que poderia permitir que um invasor remoto realizasse ataques de script entre sites.

Recomendações:

Para as versões 15.10 a 17.3.5 do GitLab CE/EE, atualize para a versão 17.3.6 ou posterior.

Para as versões 17.4 a 17.4.2 do GitLab CE/EE, atualize para a versão 17.4.3 ou posterior.

Para as versões 17.5 a 17.5.0 do GitLab CE/EE, atualize para a versão 17.5.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao campo Pesquisa global nas visualizações de diferenças até que um patch esteja disponível.