GitLab 重要度の高い脆弱性を修正 (CVE-2024-4835)
2024年5月22日 GitLab(ギット ラブ)はXSSに悪用される可能性のある重要度の高い脆弱性(CVE-2024-4835)を含む、いくつかの脆弱性のに対応したパッチバージョンをリリースしました。
重要度の高い脆弱性が含まれているので、GitLabは直ちにアップデートする事を推奨しています。
新バージョンの内容
・GitLab Community Edition (CE) および Enterprise Edition (EE) のバージョン 17.0.1、16.11.3、16.10.6
GitLabの脆弱性(CVE-2024-4835)とは
XSS(クロスサイトスクリプティング)脆弱性になります
この脆弱性を利用することで、攻撃者は悪意のあるページを作成して、ユーザーの機密情報を抜き取ることができます。
CVE-2023-7028の影響を受けるバージョン
・バージョン15.11から16.10.6以前
・バージョン16.11から16.11.3以前
・バージョン17.0から17.0.1以前
対応された脆弱性と重大度の一覧
| タイトル | 重大度 |
|---|---|
| VS コード エディター (Web IDE) を活用した XSS による 1 クリック アカウント乗っ取り | 高 |
| ランナーの「description」フィールドにおける DOS の脆弱性 | 中 |
| K8s クラスタ統合による CSRF | 中 |
| コミットのAPIのSet Pipeline Statusを誤って使用すると、SHAとpipeline_idが一致しない場合に新しいパイプラインが作成される | 中 |
| WikiレンダーAPI/ページでのRedos脆弱性 | 中 |
| test_report API 呼び出しによるリソース枯渇とサービス拒否 | 中 |
| ゲストユーザーがジョブアーティファクトを通じてプライベートプロジェクトの依存リストを閲覧できる | 中 |
引用:GitLab Patch Release: 17.0.1, 16.11.3, 16.10.6
関連記事
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
SAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688)
VeeamのVeeam Backup Enterprise Managerで重大な認証バイパスのバグを警告(CVE-2024-29849)
GitLabの脆弱性(CVE-2023-7028)を悪用したアカウント乗っ取りが発生
WordPress用プラグイン「Forminator」で複数の脆弱性が発生
VMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081)
MoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表
Microsoftがゼロデイ脆弱性や複数の脆弱性を修正(CVE-2024-30051,CVE-2024-30046,CVE-2024-30040)
エレコム製無線LANルーターに脆弱性(CVE-2024-25568、CVE-2024-26258、CVE-2024-29225)