{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "GitLab ist eine Webanwendung zur Versionsverwaltung für Softwareprojekte auf Basis von git.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in GitLab ausnutzen, um einen Denial of Service Angriff durchzuführen oder Dateien zu manipulieren.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- MacOS X\n- Windows",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0233 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0233.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0233 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0233"
    }, {
      "category" : "external",
      "summary" : "GitLab Security Advisory vom 2023-01-31",
      "url" : "https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/"
    } ],
    "source_lang" : "en-US",
    "title" : "GitLab: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-02-22T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:42:45.948+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0233",
      "initial_release_date" : "2023-01-31T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-01-31T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2023-02-22T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "Neue CVE's hinzugefügt"
      } ],
      "status" : "final",
      "version" : "2"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_name",
          "name" : "Open Source GitLab < 15.8.1",
          "product" : {
            "name" : "Open Source GitLab < 15.8.1",
            "product_id" : "T026063",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:gitlab:gitlab:15.8.1"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Open Source GitLab < 15.7.6",
          "product" : {
            "name" : "Open Source GitLab < 15.7.6",
            "product_id" : "T026064",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:gitlab:gitlab:15.7.6"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Open Source GitLab < 15.6.7",
          "product" : {
            "name" : "Open Source GitLab < 15.6.7",
            "product_id" : "T026065",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:gitlab:gitlab:15.6.7"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "GitLab"
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-0885",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Es besteht eine Anfälligkeit für einen Denial of Service Zustand wenn ein schadhaftes \"Helm\"-Chart hochgeladen wird. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2023-0885"
  }, {
    "cve" : "CVE-2023-0518",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Es besteht eine Anfälligkeit für einen Denial of Service Zustand wenn ein schadhaftes \"Helm\"-Chart hochgeladen wird. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2023-0518"
  }, {
    "cve" : "CVE-2022-4138",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Diese ist auf eine Anfälligkeit für einen Cross-Site-Request-Forgery-Angriff zurückzuführen. Dadurch kann ein Repository übernommen werden. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2022-4138"
  }, {
    "cve" : "CVE-2023-0884",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Diese besteht in der Komponente \"sidekiq\" und tritt auf, wenn eine maliziöse \"CI-Job-Artifact\"-Zip-Datei hochgeladen wird. In Folge tritt ei erhöhter Ressourcenverbrauch auf, der zum Absturz führen kann. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2023-0884"
  }, {
    "cve" : "CVE-2022-3759",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Diese besteht in der Komponente \"sidekiq\" und tritt auf, wenn eine maliziöse \"CI-Job-Artifact\"-Zip-Datei hochgeladen wird. In Folge tritt ei erhöhter Ressourcenverbrauch auf, der zum Absturz führen kann. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2022-3759"
  }, {
    "cve" : "CVE-2023-0886",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Es besteht keine Grenze bei der Beschreibungsgröße für Issues im Gitlab. Dies kann genutzt werden um den Ressourcenverbrauch bis zum Absturz zu erhöhen. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2023-0886"
  }, {
    "cve" : "CVE-2022-3411",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in GitLab. Es besteht keine Grenze bei der Beschreibungsgröße für Issues im Gitlab. Dies kann genutzt werden um den Ressourcenverbrauch bis zum Absturz zu erhöhen. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service Zustand herbeizuführen."
    } ],
    "release_date" : "2023-01-31T23:00:00.000+00:00",
    "title" : "CVE-2022-3411"
  } ]
}