GitLab 极狐版 (JH) 的补丁版本 17.0.5, 17.1.3, 17.2.1 已经发布。
这些版本包含重要的安全修复程序,强烈建议立即将所有受影响的 GitLab 安装升级到该版本。
|
Title |
Severity |
|---|---|
|
High |
|
|
Medium |
|
|
Reports can access and download job artifacts despite use of settings to prevent it |
Medium |
|
Direct Transfer - Authorised project/group exports are accessible to other users |
Medium |
|
Low |
|
|
Low |
GitLab CE/EE中存在跨站点脚本漏洞,影响17.0.5之前的16.6、17.1.3之前的17.1、17.2.1之前的17.2的所有版本,允许攻击者在当前登录用户的上下文中执行任意脚本。这是一个高严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N ,7.7)
在GitLab EE中发现了一个问题,影响17.0.5之前的16.11,17.1.3之前的17.1,17.2.1之前的17.2的所有版本,其中某些项目级别的分析设置可能会在DOM中泄露给具有开发人员或更高角色的组成员。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N ,4.4)。目前已在最新版本中缓解,并分配给CVE-2024-5067。
GitLab CE/EE中的一个信息泄露漏洞,影响17.0.5之前的16.7版本、17.1.3之前的17.1版本以及17.2.1之前的17.2版本,其中作业工件可能会不适当地暴露给缺乏适当授权级别的用户。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N ,4.3)。目前已在最新版本中缓解,并分配给CVE-2024-7057。
在GitLab CE/EE中发现了一个问题,影响从17.0.5之前的15.6开始的所有版本,从17.1.3之前的17.1开始,以及从17.2.1之前的17.2开始,其中可能向另一个用户披露导出的组或项目的有限信息。
这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N ,4.1)。
GitLab CE/EE中存在一个影响17.0.5之前的所有版本12.0、17.1.3之前的所有版本17.1和17.2.1之前的所有版本17.2的资源误导漏洞,该漏洞允许攻击者以误导提交的方式创建存储库导入。这是低严重度问题( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N ,2.7)。目前已在最新版本中缓解,并分配给CVE-2024-0231。
GitLab CE/EE在项目/组导出中存在信息泄露漏洞,影响17.0.5之前的15.4、17.1.3之前的17.1和17.2.1之前的17.2的所有版本,允许未经授权的用户查看导出结果。这是低严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N ,2.6)。
京ICP备09015132号-996 | 网络文化经营许可证京网文[2017]4225-497号 | 违法和不良信息举报电话:4006561155
© Copyright 2000-2023 北京哲想软件有限公司版权所有 | 地址:北京市海淀区西三环北路50号豪柏大厦C2座11层1105室
![网络文化经营许可证京网文[2017]4225-497号](/f/image/20180509/20180509164113_9707.jpg){kind=link}