CVE-2024-8754

An issue has been discovered in GitLab EE/CE affecting all versions from 16.9.7 prior to 17.1.7, 17.2 prior to 17.2.5, and 17.3 prior to 17.3.2. An improper input validation error allows attacker to squat on accounts via linking arbitrary unclaimed provider identities when JWT authentication is configured.
References
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

History

14 Sep 2024, 15:40

Type Values Removed Values Added
First Time Gitlab gitlab
Gitlab
Summary
  • (es) Se ha descubierto un problema en GitLab EE/CE que afecta a todas las versiones desde la 16.9.7 hasta la 17.1.7, la 17.2 hasta la 17.2.5 y la 17.3 hasta la 17.3.2. Un error de validación de entrada incorrecto permite a un atacante apropiarse de cuentas mediante la vinculación de identidades de proveedores arbitrarias no reclamadas cuando se configura la autenticación JWT.
CWE NVD-CWE-noinfo
References () https://gitlab.com/gitlab-org/gitlab/-/issues/464062 - () https://gitlab.com/gitlab-org/gitlab/-/issues/464062 - Broken Link
CPE cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*
cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*
CVSS v2 : unknown
v3 : 6.4
v2 : unknown
v3 : 8.1

12 Sep 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-12 17:15

Updated : 2024-09-14 15:40


NVD link : CVE-2024-8754

Mitre link : CVE-2024-8754

CVE.ORG link : CVE-2024-8754


JSON object : View

Products Affected

gitlab

  • gitlab
CWE
NVD-CWE-noinfo CWE-642

External Control of Critical State Data