Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GitLab CE/EE (CVE-2024-11669)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/11/2024
Última modificación:
12/12/2024

Descripción

Se descubrió un problema en GitLab CE/EE que afectaba a todas las versiones desde la 16.9.8 hasta la 17.4.5, desde la 17.5 hasta la 17.5.3 y desde la 17.6 hasta la 17.6.1. Ciertos endpoints de API podrían permitir el acceso no autorizado a datos confidenciales debido a la aplicación demasiado amplia de los alcances de los tokens.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 16.9.8 (incluyendo) 17.4.5 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 16.9.8 (incluyendo) 17.4.5 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* 17.5.0 (incluyendo) 17.5.3 (excluyendo)
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* 17.5.0 (incluyendo) 17.5.3 (excluyendo)
cpe:2.3:a:gitlab:gitlab:17.6.0:*:*:*:community:*:*:*
cpe:2.3:a:gitlab:gitlab:17.6.0:*:*:*:enterprise:*:*:*


Referencias a soluciones, herramientas e información