High Risk

Kwetsbaarheden verholpen in GitLab Enterprise Edition en Community Edition

GitLab heeft meerdere kwetsbaarheden verholpen in GitLab Enterprise Edition (EE) en Community Edition (CE) in versies variërend van 9.1 tot voor 18.11.7, 19.0 tot voor 19.0.4, en 19.1 tot voor 19.1.2. De kwetsbaarheden betreffen onder andere: - Het creëren van repositories met discrepanties tussen de webinterface en de daadwerkelijke downloadbare bestanden door onjuiste verwerking van Git reference names. - Onvoldoende autorisatiecontroles in GraphQL-operaties waardoor gebruikers met auditor-permissies compliance violation records kunnen aanpassen. - Cross-site scripting (XSS) waarbij gebruikers met developer-permissies kwaadaardige scripts kunnen injecteren in de browser van andere gebruikers door onjuiste inputsanitatie. - Ongeautoriseerde detectie van private projecten door onbevoegde gebruikers via cross-project reference pages. - Bypass van autorisatiecontroles waardoor gebruikers met minimale toegangsrechten metadata van werkitems in private projecten kunnen inzien. - Toegang tot opgeslagen credentials van andere gebruikers door maintainers via onvoldoende toegangsbeperkingen. - Ongeautoriseerde wijziging van groepsinstellingen door foutieve autorisatiecontroles op groepsniveau. Deze kwetsbaarheden maken het mogelijk voor gebruikers met verschillende toegangsrechten om acties uit te voeren of informatie in te zien die normaal gesproken beperkt zou moeten zijn, door het omzeilen van autorisatiecontroles of het misbruiken van onjuiste inputverwerking.

Bekijk advies op NCSC