CVE-2024-13041

Nome do Software Vulnerável e Versões Afetadas Versões 16.4 a 17.5.5 do GitLab CE/EE Versões 17.6 a 17.6.3 do GitLab CE/EE Versões 17.7 a 17.7.1 do GitLab CE/EE

Descrição O problema está relacionado ao gerenciamento incorreto de ações do usuário no GitLab CE/EE, o que pode permitir que um atacante remoto obtenha acesso não autorizado a informações protegidas. Quando um usuário é criado via provedor SAML, a configuração de grupos externos sobrescreve a configuração do provedor externo, potencialmente concedendo aos usuários acesso a projetos ou grupos internos.

Recomendações Para as versões 16.4 a 17.5.5 do GitLab CE/EE, atualize para a versão 17.5.5 ou posterior para resolver o problema. Para as versões 17.6 a 17.6.3 do GitLab CE/EE, atualize para a versão 17.6.3 ou posterior para resolver o problema. Para as versões 17.7 a 17.7.1 do GitLab CE/EE, atualize para a versão 17.7.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a projetos ou grupos internos para usuários criados via provedor SAML até que o problema seja resolvido.