V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
bdu,nvd,anchore_overrides

Gitlab

Уязвимости
1818
Эксплуатируемые
4
Критический
92
Высокий
447

Топ продуктов

Gitlab1801Gitlab Enterprise979Gitlab-shell5Dynamic Application Security Testing Analyzer4Runner3Gitlab Runner2Gitlab-vscode-extension2Ai-gateway1Dast Api Scanner1Gitaly1Gitlab Ai Gateway1Gitlab-language-server1Gitlab Pages1Gitlab-web-ide-vscode-fork1Language Server1Omnibus1Pages1

Топ уязвимостей

CVE-2021-22205Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 11.9. GitLab неправильно проверял файлы изображений, которые передавались в анализатор файлов, что приводило к удаленному выполнению команд.
CVE-2020-13300GitLab CE/EE версии 13.3 до 13.3.4 был уязвим для изменения области авторизации OAuth без согласия пользователя в середине потока авторизации.
CVE-2019-9174В GitLab Community и Enterprise Edition до версий 11.6.10, 11.7.x до 11.7.6 и 11.8.x до 11.8.1 обнаружена проблема, позволяющая SSRF.
CVE-2018-18843Интеграция Kubernetes в GitLab Enterprise Edition 11.x до 11.2.8, 11.3.x до 11.3.9 и 11.4.x до 11.4.4 имеет SSRF.
BDU:2024-07261Уязвимость реализации модуля единого входа в приложения SAML библиотеки Ruby SAML и программной платформы на базе git для совместной работы над кодом GitLab связана с ошибками проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём отправки специально сформированного SAML-ответа
BDU:2024-00259Уязвимость программной платформы на базе git для совместной работы над кодом GitLab вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к учётной записи произвольного пользователя через манипуляции с формой восстановления забытого пароля
BDU:2023-02794Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2022-02363Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально созданных команд
BDU:2021-05738Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с недостаточной проверкой входных данных при синтаксическом анализе файлов изображений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
CVE-2026-1868GitLab исправил уязвимость в компоненте Duo Workflow Service GitLab AI Gateway, затрагивающую все версии AI Gateway с 18.1.6, 18.2.6, 18.3.1, 18.6.1, 18.7.0 и 18.8.0, в которых AI Gateway был уязвим для небезопасного расширения шаблонов пользовательских данных с помощью разработанных определений Duo Agent Platform Flow. Эта уязвимость может быть использована для того, чтобы вызвать отказ в обслуживании или получить выполнение кода на шлюзе. Это было исправлено в версиях 18.6.2, 18.7.1 и 18.8.1 GitLab AI Gateway.
CVE-2025-5121В GitLab CE/EE была обнаружена проблема, затрагивающая все версии с 17.11 до 17.11 и 18.0 до 18.0.2. Отсутствующая проверка разрешений, возможно, позволила применять системы соблюдения к проектам, не входящим в группу системы соблюдения.
CVE-2024-6678В GitLab CE/EE обнаружена проблема, затрагивающая все версии, начиная с 8.14 до 17.1.7, начиная с 17.2 до 17.2.5 и начиная с 17.3 до 17.3.2, которая позволяет злоумышленнику запускать конвейер от имени произвольного пользователя при определенных обстоятельствах.
CVE-2024-0402Проблема была обнаружена в GitLab CE/EE, затрагивающая все версии с 16.0 до 16.6.6, с 16.7 до 16.7.4 и с 16.8 до 16.8.1, что позволяет аутентифицированному пользователю записывать файлы в произвольные места на сервере GitLab при создании рабочего пространства.
CVE-2022-2992Уязвимость в GitLab CE/EE, затрагивающая все версии с 11.10 до 15.1.6, с 15.2 по 15.2.4, с 15.3 по 15.3.2, позволяет аутентифицированному пользователю добиться удаленного выполнения кода через конечную точку API импорта из GitHub.
CVE-2022-2884Уязвимость в GitLab CE/EE, затрагивающая все версии с 11.3.4 до 15.1.5, с 15.2 до 15.2.3, с 15.3 до 15.3.1, позволяет аутентифицированному пользователю добиться удаленного выполнения кода через конечную точку API импорта из GitHub.
BDU:2026-01466Уязвимость компонента Duo Workflow Service сервиса для взаимодействия с внешними LLM-провайдерами GitLab AI Gateway связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных запросов
BDU:2024-07065Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2024-00724Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить запись файла в произвольные места на сервере при создании рабочей области
BDU:2022-05535Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с неправильным присвоением разрешений для критичного ресурса. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
BDU:2022-05445Уязвимость функции импорта из GitHub программной платформы на базе git для совместной работы над кодом GitLab связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2022-05211Уязвимость функции импорта из GitHub программной платформы на базе git для совместной работы над кодом GitLab связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе
CVE-2025-8279Недостаточная входная валидация в GitLab Language Server 7.6.0 и позже до 7.30.0 позволяет произвольное выполнение запроса GraphQL
CVE-2024-6385Проблема была обнаружена в GitLab CE/EE, затрагивающая все версии, начиная с 15.8 до 16.11.6, начиная с 17.0 до 17.0.4 и начиная с 17.1 до 17.1.2, что позволяет злоумышленнику запускать конвейер от имени другого пользователя при определенных обстоятельствах.
CVE-2024-45409Библиотека Ruby SAML предназначена для реализации клиентской стороны авторизации SAML. Ruby-SAML в <= 12.2 и 1.13.0 <= 1.16.0 неправильно проверяет подпись ответа SAML. Неаутентифицированный злоумышленник, имеющий доступ к любому подписанному документу saml (от IdP), может, таким образом, подделать ответ/утверждение SAML с произвольным содержимым. Это позволит злоумышленнику войти в систему как произвольный пользователь в уязвимой системе. Эта уязвимость исправлена в версиях 1.17.0 и 1.12.3.
CVE-2023-7028В GitLab CE/EE была обнаружена проблема, затрагивающая все версии от 16.1 до 16.1.6, 16.2 до 16.2.9, 16.3 до 16.3.7, 16.4 до 16.4.5, 16.5 до 16.5.6, 16.6 до 16.6.4 и 16.7 до 16.7.2, при которой электронные письма для сброса пароля учетной записи пользователя могли доставляться на неподтвержденный адрес электронной почты.
Открыть в каталоге с фильтром по вендору →