GitLab極狐版(JH)的補丁版本 17.0.5, 17.1.3, 17.2.1 已經發(fā)布��。 這些版本包含重要的安全修復程序,強烈建議立即將所有受影響的Git...
GitLab 極狐版 (JH) 的補丁版本 17.0.5, 17.1.3, 17.2.1 已經發(fā)布��。
這些版本包含重要的安全修復程序����,強烈建議立即將所有受影響的 GitLab 安裝升級到該版本���。
Table of security fixes
通過Maven Dependency Proxy的XSS
GitLab CE/EE中存在跨站點腳本漏洞�����,影響17.0.5之前的16.6����、17.1.3之前的17.1、17.2.1之前的17.2的所有版本�,允許攻擊者在當前登錄用戶的上下文中執(zhí)行任意腳本。這是一個高嚴重度問題( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N ��,7.7)
DOM中泄露的項目級分析設置
在GitLab EE中發(fā)現了一個問題���,影響17.0.5之前的16.11��,17.1.3之前的17.1�,17.2.1之前的17.2的所有版本���,其中某些項目級別的分析設置可能會在DOM中泄露給具有開發(fā)人員或更高角色的組成員����。這是一個中等嚴重度問題( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N �����,4.4)。目前已在最新版本中緩解��,并分配給CVE-2024-5067��。
報告可以訪問和下載作業(yè)工件��,盡管使用了設置來阻止它
GitLab CE/EE中的一個信息泄露漏洞��,影響17.0.5之前的16.7版本�����、17.1.3之前的17.1版本以及17.2.1之前的17.2版本���,其中作業(yè)工件可能會不適當地暴露給缺乏適當授權級別的用戶。這是一個中等嚴重度問題( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N ����,4.3)。目前已在最新版本中緩解���,并分配給CVE-2024-7057�。
直接傳輸-其他用戶可以訪問授權的項目/組導出
在GitLab CE/EE中發(fā)現了一個問題,影響從17.0.5之前的15.6開始的所有版本�����,從17.1.3之前的17.1開始�����,以及從17.2.1之前的17.2開始��,其中可能向另一個用戶披露導出的組或項目的有限信息���。
這是一個中等嚴重度問題( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N ����,4.1)�����。
通過導入執(zhí)行標記檢查和分支檢查
GitLab CE/EE中存在一個影響17.0.5之前的所有版本12.0、17.1.3之前的所有版本17.1和17.2.1之前的所有版本17.2的資源誤導漏洞,該漏洞允許攻擊者以誤導提交的方式創(chuàng)建存儲庫導入����。這是低嚴重度問題( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N ,2.7)����。目前已在最新版本中緩解,并分配給CVE-2024-0231�����。
項目導入/導出-使項目/組導出文件對除啟動它的用戶之外的所有人隱藏
GitLab CE/EE在項目/組導出中存在信息泄露漏洞�,影響17.0.5之前的15.4、17.1.3之前的17.1和17.2.1之前的17.2的所有版本�����,允許未經授權的用戶查看導出結果�����。這是低嚴重度問題( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N �,2.6)���。
