Уязвимость BDU:2024-04669

Идентификатор: BDU:2024-04669.

Наименование уязвимости: Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку.

Описание уязвимости: Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку через сервер агентов Kubernetes (KAS)
Уязвимое ПО: Сетевое программное средство GitLab Inc. Gitlab от 16.11 до 16.11.3 | Сетевое программное средство GitLab Inc. Gitlab от 17.0 до 17.0.1 | Сетевое программное средство GitLab Inc. Gitlab от 13.11 до 16.10.6 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.05.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению:
Обновление программного обеспечения до версий 16.10.6, 16.11.3, 17.0.1 и выше..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-7045.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://gitlab.com/gitlab-org/gitlab/-/issues/436358
https://hackerone.com/reports/2286823
https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/