GitLab 10.6 < 16.9.7/16.10 < 16.10.5/16.11 < 16.11.2 (CVE-2024-1211)
high Nessus 插件 ID 214826
语言:
简介
远程主机上安装的 GitLab 版本受到一个漏洞的影响。描述
远程主机上安装的 GitLab 版本受到以下漏洞的影响:- Gitlab 报告:使用通配符进行分支搜索时的 ReDoS Markdown 渲染管道中的 ReDoS Discord 集成中的 ReDoS Google Chat 集成中的 Redos 通过 API 对标签和分支进行过滤来实施的 PIN 菜单拒绝服务攻击 通过 SAML SSO 中的 CSRF 进行的 MR 批准 被禁止的用户可以通过 API 来读取问题更新 需要在链接 JWT 身份之前进行确认 通过 Github 导入工具的导出 SSRF 来查看任何公开项目的机密问题标题和描述。(CVE-2024-1211)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 GitLab 16.9.7、16.10.5、16.11.2 或更新版本。另见
http://www.nessus.org/u?444fe5c6
插件详情
严重性: High
ID: 214826
文件名: gitlab_cve-2024-1211.nasl
版本: 1.2
类型: combined
代理: unix
系列: CGI abuses
发布时间: 2025/1/30
最近更新时间: 2025/8/6
支持的传感器: Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-1211
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:gitlab:gitlab
必需的 KB 项: installed_sw/GitLab
易利用性: No known exploits are available
补丁发布日期: 2025/1/30
漏洞发布日期: 2024/5/9
参考资料信息
CVE: CVE-2024-1211