GitLab 重要度の高い脆弱性を修正 (CVE-2024-4835)
2024年5月22日 GitLab(ギット ラブ)はXSSに悪用される可能性のある重要度の高い脆弱性(CVE-2024-4835)を含む、いくつかの脆弱性のに対応したパッチバージョンをリリースしました。
重要度の高い脆弱性が含まれているので、GitLabは直ちにアップデートする事を推奨しています。
新バージョンの内容
・GitLab Community Edition (CE) および Enterprise Edition (EE) のバージョン 17.0.1、16.11.3、16.10.6
GitLabの脆弱性(CVE-2024-4835)とは
XSS(クロスサイトスクリプティング)脆弱性になります
この脆弱性を利用することで、攻撃者は悪意のあるページを作成して、ユーザーの機密情報を抜き取ることができます。
CVE-2023-7028の影響を受けるバージョン
・バージョン15.11から16.10.6以前
・バージョン16.11から16.11.3以前
・バージョン17.0から17.0.1以前
対応された脆弱性と重大度の一覧
タイトル | 重大度 |
---|---|
VS コード エディター (Web IDE) を活用した XSS による 1 クリック アカウント乗っ取り | 高 |
ランナーの「description」フィールドにおける DOS の脆弱性 | 中 |
K8s クラスタ統合による CSRF | 中 |
コミットのAPIのSet Pipeline Statusを誤って使用すると、SHAとpipeline_idが一致しない場合に新しいパイプラインが作成される | 中 |
WikiレンダーAPI/ページでのRedos脆弱性 | 中 |
test_report API 呼び出しによるリソース枯渇とサービス拒否 | 中 |
ゲストユーザーがジョブアーティファクトを通じてプライベートプロジェクトの依存リストを閲覧できる | 中 |