11. April 2024 – GitLab hat neue Versionen (16.10.2, 16.9.4, 16.8.6) für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht um teils kritische Lücken zu stopfen.
Es wird dringend empfohlen On-Premise Instanzen auf die neueste Version zu aktualisieren.
Titel | Schweregrad |
---|---|
Gespeicherter XSS-Injection im Diff-Viewer | Hoch |
Gespeicherter XSS über Autovervollständigungsergebnisse | Hoch |
Redos bei Integrations-Chat-Nachrichten | Mittel |
Redos während des Parsens des JUnit-Testberichts | Mittel |
Gespeicherter XSS-Injection im Diff-Viewer
Die Sicherheitslücke CVE-2024-3092 betrifft alle Versionen ab 16.10 vor 16.10.2. Ein Payload kann zu einem gespeicherten XSS führen, während der Diff-Viewer verwendet wird, was Angreifern ermöglicht, willkürliche Aktionen im Namen von Opfern auszuführen. Dies ist eine Sicherheitslücke mit hoher Schwere (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, Schweregrad 8.7 / 10).
Gespeicherter XSS über Autovervollständigungsergebnisse
Die Sicherheitslücke CVE-2024-2279 betrifft alle Versionen von 16.7 bis 16.8.6, alle Versionen ab 16.9 vor 16.9.4 und alle Versionen ab 16.10 vor 16.10.2. Durch die Verwendung der Autovervollständigung für Issue-Referenzen kann ein manipulierter Payload zu einem gespeicherten XSS führen, wodurch Angreifer willkürliche Aktionen im Namen von Opfern ausführen können. Dies ist eine Sicherheitslücke mit hoher Schwere (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, Schweregrad 8.7 / 10 ).
Redos bei Integrations-Chat-Nachrichten
Die Denial-of-Service-Sicherheitslücke CVE-2023-6489 betrifft Versionen 16.7.7 vor 16.8.6, 16.9 vor 16.9.4 und 16.10 vor 16.10.2 und ermöglicht einem Angreifer die Ressourcennutzung der GitLab-Instanz über die Chat-Integrationsfunktion zu erhöhen, was zu einer Dienstbeeinträchtigung führt. Dies ist eine Sicherheitslücke mit mittlerem Schweregrad (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, Schweregrad 4.3 / 10 ).
Redos während des Parsens des JUnit-Testberichts
Die Schwachstelle CVE-2023-6678 betrifft alle Versionen ab 16.9 vor 16.9.4 und alle Versionen ab 16.10 vor 16.10.2. Es war möglich, durch bösartig gestaltete Inhalte in einer JUnit-Testberichtsdatei einen Denial-of-Service-Angriff zu verursachen. Dies ist eine Sicherheitslücke mit mittlerem Schweregrad (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, Schweregrad 4.3 / 10 ).
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: