CVE-2024-8114:GitLab 漏洞允许权限升级

阅读量37683

发布时间 : 2024-11-27 14:27:09

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-8114-gitlab-vulnerability-allows-privilege-escalation/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-5655

GitLab 发布了关键安全更新,以解决影响其社区版 (CE) 和企业版 (EE) 产品的多个漏洞。17.6.1、17.5.3 和 17.4.5 版本包含重要的漏洞和安全修复,包括针对高严重性权限升级漏洞的补丁。

GitLab 在其安全公告中说:“我们强烈建议所有运行受下述问题影响的版本的系统尽快升级到最新版本。”

最严重的漏洞被认定为 CVE-2024-8114,攻击者如果访问了受害者的个人访问令牌(PAT),就可以提升权限。该漏洞的 CVSSv3 得分为 8.2,影响 8.12(17.4.5 之前)、17.5(17.5.3 之前)和 17.6(17.6.1 之前)的所有 GitLab 版本。

该版本解决的其他漏洞包括:

  • 拒绝服务 (DoS) 漏洞: 已修补多个 DoS 漏洞,包括一个可通过查看恶意制作的 cargo.toml 文件触发的漏洞 (CVE-2024-8237),以及另一个与 Harbor 注册表集成相关的漏洞 (CVE-2024-8177)。
  • 意外访问使用数据: 一个可能允许通过作用域令牌未经授权访问敏感数据的漏洞 (CVE-2024-11669) 已得到缓解。
  • 资源耗尽和拒绝服务: 已解决一个漏洞 (CVE-2024-11828),该漏洞可能允许攻击者通过发送伪造的 API 调用来创建 DoS 条件。
  • 流媒体端点漏洞: 已修补了一个漏洞 (CVE-2024-11668),该漏洞可允许长期连接绕过身份验证控制。

GitLab 感谢安全研究人员 pwnie、l33thaxor、a92847865 和 luryus 通过 HackerOne 漏洞悬赏计划报告了其中一些漏洞。GitLab 内部团队成员 Dylan Griffith 和 Heinrich Lee Yu 也发现了漏洞。

GitLab 敦促所有用户立即将其安装更新到最新版本,以降低这些安全风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66