Alerts

GitLab Inc. heeft meerdere kwetsbaarheden verholpen in GitLab Enterprise Edition (EE) en andere GitLab versies, specifiek in releases van versie 8.3 tot en met 19.1.1, met nadruk op versies rond 18.11.6, 19.0.3 en 19.1.1. De kwetsbaarheden betreffen verschillende onderdelen van GitLab, waaronder de package management system, DAST site profile management, CI/CD API endpoints, Snippet feature, mirror synchronisatie, en project issue tracking. Diverse problemen zijn gerelateerd aan onjuiste autorisatiecontroles, onvoldoende validatie van input en output, en onjuiste filtering van gevoelige data. Hierdoor kunnen gebruikers met beperkte of geauthenticeerde rechten onder andere: - toegang krijgen tot metadata van pakketten ondanks uitgeschakelde registraties, - beveiligingsregels voor pakketten omzeilen en metadata overschrijven, - geheimen uit DAST site profielen uitlezen, - cross-site scripting (XSS) aanvallen uitvoeren via onvoldoende padvalidatie en input sanitatie, - beschermde omgevingsconfiguraties benaderen of wijzigen ondanks zichtbaarheid-instellingen, - verborgen of ongeautoriseerde inhoud in Snippets plaatsen, - gevoelige projectinformatie inzien zonder juiste rechten, - client-side code injecteren in sessies van andere gebruikers, - gevoelige informatie in logs laten verschijnen door onvoldoende filtering, - vertrouwelijke issue-referenties op publieke projecten benaderen zonder authenticatie, - interne netwerkresources benaderen via mirror synchronisatie door onvoldoende URL-validatie, - en virtuele registry cleanup policies van andere groepen aanpassen door onvoldoende toegangscontrole. Deze kwetsbaarheden zijn aanwezig in meerdere opeenvolgende versies van GitLab en betreffen zowel authenticatie- als autorisatieproblemen, alsmede input- en outputvalidatie.