PT-2024-9581 · Gitlab · Gitlab Ce/Ee
Joaxcaron
·
Publicado
2024-12-11
·
Atualizado
2025-07-11
·
CVE-2024-11274
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 16.1 a 17.4.6 do GitLab CE/EE
Versões 17.5 a 17.5.4 do GitLab CE/EE
Versões 17.6 a 17.6.2 do GitLab CE/EE
Descrição
Foi descoberta uma vulnerabilidade no GitLab CE/EE em que a injeção de cabeçalhos de Network Error Logging (NEL) na resposta do proxy k8s poderia levar à exfiltração de dados de sessão. Isso poderia permitir que um invasor obtivesse acesso não autorizado a contas. A vulnerabilidade está relacionada à divulgação de informações durante a transmissão de dados.
Recomendações
Para as versões 16.1 a 17.4.6 do GitLab CE/EE, atualize para a versão 17.4.6 ou posterior.
Para as versões 17.5 a 17.5.4 do GitLab CE/EE, atualize para a versão 17.5.4 ou posterior.
Para as versões 17.6 a 17.6.2 do GitLab CE/EE, atualize para a versão 17.6.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à resposta do proxy k8s para minimizar o risco de exploração.
Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitlab Ce/Ee