GitLab極狐版(JH)的補(bǔ)丁版本 17.0.5, 17.1.3, 17.2.1 已經(jīng)發(fā)布�。 這些版本包含重要的安全修復(fù)程序����,強(qiáng)烈建議立即將所有受影響的Git...
GitLab 極狐版 (JH) 的補(bǔ)丁版本 17.0.5, 17.1.3, 17.2.1 已經(jīng)發(fā)布。
這些版本包含重要的安全修復(fù)程序�,強(qiáng)烈建議立即將所有受影響的 GitLab 安裝升級到該版本。
Table of security fixes
通過Maven Dependency Proxy的XSS
GitLab CE/EE中存在跨站點(diǎn)腳本漏洞���,影響17.0.5之前的16.6��、17.1.3之前的17.1���、17.2.1之前的17.2的所有版本��,允許攻擊者在當(dāng)前登錄用戶的上下文中執(zhí)行任意腳本��。這是一個高嚴(yán)重度問題( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N ���,7.7)
DOM中泄露的項(xiàng)目級分析設(shè)置
在GitLab EE中發(fā)現(xiàn)了一個問題,影響17.0.5之前的16.11�,17.1.3之前的17.1,17.2.1之前的17.2的所有版本��,其中某些項(xiàng)目級別的分析設(shè)置可能會在DOM中泄露給具有開發(fā)人員或更高角色的組成員��。這是一個中等嚴(yán)重度問題( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N ��,4.4)��。目前已在最新版本中緩解���,并分配給CVE-2024-5067���。
報告可以訪問和下載作業(yè)工件���,盡管使用了設(shè)置來阻止它
GitLab CE/EE中的一個信息泄露漏洞,影響17.0.5之前的16.7版本�、17.1.3之前的17.1版本以及17.2.1之前的17.2版本,其中作業(yè)工件可能會不適當(dāng)?shù)乇┞督o缺乏適當(dāng)授權(quán)級別的用戶���。這是一個中等嚴(yán)重度問題( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N ��,4.3)。目前已在最新版本中緩解����,并分配給CVE-2024-7057。
直接傳輸-其他用戶可以訪問授權(quán)的項(xiàng)目/組導(dǎo)出
在GitLab CE/EE中發(fā)現(xiàn)了一個問題����,影響從17.0.5之前的15.6開始的所有版本,從17.1.3之前的17.1開始�,以及從17.2.1之前的17.2開始,其中可能向另一個用戶披露導(dǎo)出的組或項(xiàng)目的有限信息�����。
這是一個中等嚴(yán)重度問題( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N ,4.1)�����。
通過導(dǎo)入執(zhí)行標(biāo)記檢查和分支檢查
GitLab CE/EE中存在一個影響17.0.5之前的所有版本12.0�、17.1.3之前的所有版本17.1和17.2.1之前的所有版本17.2的資源誤導(dǎo)漏洞,該漏洞允許攻擊者以誤導(dǎo)提交的方式創(chuàng)建存儲庫導(dǎo)入�����。這是低嚴(yán)重度問題( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N ����,2.7)。目前已在最新版本中緩解���,并分配給CVE-2024-0231�。
項(xiàng)目導(dǎo)入/導(dǎo)出-使項(xiàng)目/組導(dǎo)出文件對除啟動它的用戶之外的所有人隱藏
GitLab CE/EE在項(xiàng)目/組導(dǎo)出中存在信息泄露漏洞����,影響17.0.5之前的15.4、17.1.3之前的17.1和17.2.1之前的17.2的所有版本���,允許未經(jīng)授權(quán)的用戶查看導(dǎo)出結(jié)果�。這是低嚴(yán)重度問題( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N ,2.6)��。
