The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - An issue was discovered in GitLab CE/EE affecting all versions starting from 16.10 prior to 16.11.5,     starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows a project     maintainer can delete the merge request approval policy via graphQL. (CVE-2024-5430)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、589de937-343f-11ef-8a7b-001b217b3468 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Gitlab レポート
    任意のユーザーとしてパイプラインを実行。インポートされたプロジェクトのコミットノートに注入された格納型 XSS。GraphQL API IntrospectionQuery での CSRF。認証されていないリポジトリのあるパブリックプロジェクトから検索結果を削除。ユーザーアプリケーションでのクロスウィンドウフォージェリ。OAuth フロー。プロジェクトメンテナーがグループのマージリクエスト承認ポリシーをバイパス可能。カスタムビルドされた Markdown ページによる ReDoS。プライベートジョブアーチファクトに任意のユーザーがアクセス可能。バンザイパイプラインのセキュリティ修正。依存関係リンカーの ReDoS。細工された OpenAPI ファイルを使用したサービス拒否。マージリクエストのタイトル漏洩。SSO セッション無しの問題やエピックへのアクセス。非プロジェクトメンバーが主要な結果を目標に昇格させる可能性。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by multiple vulnerabilities as referenced in the 589de937-343f-11ef-8a7b-001b217b3468 advisory.

    Gitlab reports:
    Run pipelines as any user     Stored XSS injected in imported project's commit notes     CSRF on GraphQL API IntrospectionQuery     Remove search results from public projects with unauthorized repos     Cross window forgery in user application OAuth flow     Project maintainers can bypass group's merge request approval policy     ReDoS via custom built markdown page     Private job artifacts can be accessed by any user     Security fixes for banzai pipeline     ReDoS in dependency linker     Denial of service using a crafted OpenAPI file     Merge request title disclosure     Access issues and epics without having an SSO session     Non project member can promote key results to objectives

Tenable has extracted the preceding description block directly from the FreeBSD security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 GitLab CE/EE 中发现一个问题，16.10 至 16.11.5、17.0 至 17.0.3 以及 17.1 至 17.1.1 的所有版本均受此影响，此问题允许项目维护者通过 graphQL 删除合并请求批准策略。(CVE-2024-5430)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - GitLab CE/EE に問題が発見されました。これは、16.11.5 より前の 16.10 以降、17.0.3より前の 17.0 以降、および 17.1.1 より前の 17.1 以降のすべてのバージョンに影響を与え、マージリクエスト承認ポリシーを graphQL 経由でプロジェクトメンテナーが削除できるようにする可能性があります。(CVE-2024-5430)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 在 GitLab CE/EE 中發現一個問題，此問題會影響 16.10 至 16.11.5、17.0 至 17.0.3 和 17.1 至 17.1.1 的所有版本，這會導致專案維護人員可以透過 graphQL 刪除合併要求核准原則。(CVE-2024-5430)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
201075	GitLab 16.10 < 16.11.5 / 17.0 < 17.0.3 / 17.1 < 17.1.1 (CVE-2024-5430)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
201096	FreeBSD : Gitlab -- 脆弱性 (589de937-343f-11ef-8a7b-001b217b3468)	Nessus	FreeBSD Local Security Checks	2024/6/27	2024/12/16	high
201096	FreeBSD : Gitlab -- Vulnerabilities (589de937-343f-11ef-8a7b-001b217b3468)	Nessus	FreeBSD Local Security Checks	2024/6/27	2024/12/16	high
201075	GitLab 16.10 < 16.11.5/17.0 < 17.0.3/17.1 < 17.1.1 (CVE-2024-5430)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
201075	GitLab 16.10 < 16.11.5 / 17.0 < 17.0.3 / 17.1 < 17.1.1 (CVE-2024-5430)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
201075	GitLab 16.10 <16.11.5/17.0 < 17.0.3/17.1 < 17.1.1 (CVE-2024-5430)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium

检测

插件搜索

medium

high

high

medium

medium

medium