FreeBSD : Gitlab -- 脆弱性 (b857606c-0266-11ef-8681-001b217b3468)

high Nessus プラグイン ID 193886

Language:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、b857606c-0266-11ef-8681-001b217b3468 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- GitLab CE/EE で、16.9.6 より前のすべてのバージョン、16.10 から 16.10.4 より前のすべてのバージョン、16.11 から 16.11.1 より前のすべてのバージョンに影響する問題が発見されました。特定の状況下で、細工されたメールアドレスを通じて、攻撃者がインスタンスまたはグループのドメインベースの制限をバイパスする可能性があります。(CVE-2024-1347)

- GitLab で、16.9.6 より前の 16.9、16.10.4 より前の 16.10、16.11.1 より前の 16.11 のすべてのバージョンの GitLab CE/EE に影響を与える問題が発見されました。これは、パストラバーサルが DoS および制限されたファイル読み取りを引き起こす可能性があります。(CVE-2024-2434)

- GitLab CE/EE で、12.5 から 16.9.6 より前のすべてのバージョン、16.10 から 16.10.4より前のすべてのバージョン、16.11 から 16.11.1 より前のすべてのバージョンに影響する問題が発見されました。FileFinder の細工されたワイルドカードフィルターが、サービス拒否につながる可能性があります。(CVE-2024-2829)

- GitLab CE/EE で、16.7 から 16.9.6 より前のすべてのバージョン、16.10 から 16.10.4より前のすべてのバージョン、16.11 から 16.11.1 より前のすべてのバージョンに影響する問題が発見されました。これはパーソナルアクセススコープが GraphQL サブスクリプションを遵守しません (CVE-2024-4006)

- GitLab CE/EE で、7.8 から 16.9.6 より前のすべてのバージョン、16.10 から 16.10.4より前のすべてのバージョン、16.11 から 16.11.1 より前のすべてのバージョンに影響する問題が発見されました。GitLab で OAuth 2.0 プロバイダーとして Bitbucket が使用されている場合、特定の状況で、Bitbucket アカウントの認証情報を持つ攻撃者が、別のユーザーの Bitbucket アカウントにリンクされている GitLab アカウントを乗っ取る可能性があります。(CVE-2024-4024)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。