PT-2024-9290 · Gitlab · Gitlab Ce/Ee+1
L33Thaxor
·
Publicado
2024-11-25
·
Atualizado
2024-12-13
·
CVE-2024-8237
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas:
Versões do GitLab CE/EE anteriores à 12.6
Versões do GitLab CE/EE 17.4 anteriores à 17.4.5
Versões do GitLab CE/EE 17.5 anteriores à 17.5.3
Versões do GitLab CE/EE 17.6 anteriores à 17.6.1
Descrição:
Foi descoberta uma vulnerabilidade de Negação de Serviço (DoS) no GitLab CE/EE. Um invasor poderia causar uma negação de serviço com um arquivo
cargo.toml malicioso. A vulnerabilidade está relacionada à complexidade algorítmica ineficiente, que pode ser explorada por um invasor remoto para causar uma negação de serviço.Recomendações:
Para versões anteriores à 12.6, atualize para a versão 12.6 ou posterior.
Para versões 17.4 anteriores à 17.4.5, atualize para a versão 17.4.5 ou posterior.
Para versões 17.5 anteriores à 17.5.3, atualize para a versão 17.5.3 ou posterior.
Para versões 17.6 anteriores à 17.6.1, atualize para a versão 17.6.1 ou posterior.
Como solução alternativa temporária, considere restringir o uso de arquivos
cargo.toml criados propositalmente para minimizar o risco de exploração.Exploit
Correção
DoS
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee