GitLab 极狐版 (JH) 的补丁版本 17.0.5, 17.1.3, 17.2.1 已经发布。
这些版本包含重要的安全修复程序,强烈建议立即将所有受影响的 GitLab 安装升级到该版本。
Title |
Severity |
---|---|
High |
|
Medium |
|
Reports can access and download job artifacts despite use of settings to prevent it |
Medium |
Direct Transfer - Authorised project/group exports are accessible to other users |
Medium |
Low |
|
Low |
GitLab CE/EE中存在跨站点脚本漏洞,影响17.0.5之前的16.6、17.1.3之前的17.1、17.2.1之前的17.2的所有版本,允许攻击者在当前登录用户的上下文中执行任意脚本。这是一个高严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
,7.7)
在GitLab EE中发现了一个问题,影响17.0.5之前的16.11,17.1.3之前的17.1,17.2.1之前的17.2的所有版本,其中某些项目级别的分析设置可能会在DOM中泄露给具有开发人员或更高角色的组成员。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
,4.4)。目前已在最新版本中缓解,并分配给CVE-2024-5067。
GitLab CE/EE中的一个信息泄露漏洞,影响17.0.5之前的16.7版本、17.1.3之前的17.1版本以及17.2.1之前的17.2版本,其中作业工件可能会不适当地暴露给缺乏适当授权级别的用户。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
,4.3)。目前已在最新版本中缓解,并分配给CVE-2024-7057。
在GitLab CE/EE中发现了一个问题,影响从17.0.5之前的15.6开始的所有版本,从17.1.3之前的17.1开始,以及从17.2.1之前的17.2开始,其中可能向另一个用户披露导出的组或项目的有限信息。
这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
,4.1)。
GitLab CE/EE中存在一个影响17.0.5之前的所有版本12.0、17.1.3之前的所有版本17.1和17.2.1之前的所有版本17.2的资源误导漏洞,该漏洞允许攻击者以误导提交的方式创建存储库导入。这是低严重度问题( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
,2.7)。目前已在最新版本中缓解,并分配给CVE-2024-0231。
GitLab CE/EE在项目/组导出中存在信息泄露漏洞,影响17.0.5之前的15.4、17.1.3之前的17.1和17.2.1之前的17.2的所有版本,允许未经授权的用户查看导出结果。这是低严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
,2.6)。