The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by multiple vulnerabilities as referenced in the 589de937-343f-11ef-8a7b-001b217b3468 advisory.

    Gitlab reports:
    Run pipelines as any user     Stored XSS injected in imported project's commit notes     CSRF on GraphQL API IntrospectionQuery     Remove search results from public projects with unauthorized repos     Cross window forgery in user application OAuth flow     Project maintainers can bypass group's merge request approval policy     ReDoS via custom built markdown page     Private job artifacts can be accessed by any user     Security fixes for banzai pipeline     ReDoS in dependency linker     Denial of service using a crafted OpenAPI file     Merge request title disclosure     Access issues and epics without having an SSO session     Non project member can promote key results to objectives

Tenable has extracted the preceding description block directly from the FreeBSD security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、589de937-343f-11ef-8a7b-001b217b3468 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Gitlab レポート
    任意のユーザーとしてパイプラインを実行。インポートされたプロジェクトのコミットノートに注入された格納型 XSS。GraphQL API IntrospectionQuery での CSRF。認証されていないリポジトリのあるパブリックプロジェクトから検索結果を削除。ユーザーアプリケーションでのクロスウィンドウフォージェリ。OAuth フロー。プロジェクトメンテナーがグループのマージリクエスト承認ポリシーをバイパス可能。カスタムビルドされた Markdown ページによる ReDoS。プライベートジョブアーチファクトに任意のユーザーがアクセス可能。バンザイパイプラインのセキュリティ修正。依存関係リンカーの ReDoS。細工された OpenAPI ファイルを使用したサービス拒否。マージリクエストのタイトル漏洩。SSO セッション無しの問題やエピックへのアクセス。非プロジェクトメンバーが主要な結果を目標に昇格させる可能性。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - An issue was discovered in GitLab CE/EE affecting all versions starting from 16.7 prior to 16.11.5,     starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows private job     artifacts can be accessed by any user. (CVE-2024-3959)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - An issue was discovered in GitLab CE/EE affecting all versions starting from 16.7 prior to 16.11.5,     starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows private job     artifacts can be accessed by any user. (CVE-2024-3959)

Note that Nessus relies on the presence of the package as reported by the vendor.

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 GitLab CE/EE 中发现一个问题，16.7 至 16.11.5、17.0 至 17.0.3 以及 17.1 至 17.1.1 的所有版本均受此影响，此问题会导致任何用户都可以访问私人工作成果。(CVE-2024-3959)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 GitLab CE/EE 中发现一个问题，16.7 至 16.11.5、17.0 至 17.0.3 以及 17.1 至 17.1.1 的所有版本均受此影响，此问题会导致任何用户都可以访问私人工作成果。(CVE-2024-3959)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 在 GitLab CE/EE 中發現一個問題，此問題會影響 16.7 至 16.11.5、17.0 至 17.0.3 和 17.1 至 17.1.1 的所有版本，導致任何使用者都可以存取私密工作成品。(CVE-2024-3959)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 在 GitLab CE/EE 中發現一個問題，此問題會影響 16.7 至 16.11.5、17.0 至 17.0.3 和 17.1 至 17.1.1 的所有版本，導致任何使用者都可以存取私密工作成品。(CVE-2024-3959)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - GitLab CE/EE に問題が発見されました。これは、16.11.5 より前の 16.7 以降、17.0.3より前の 17.0 以降、および 17.1.1 より前の 17.1 以降のすべてのバージョンに影響を与え、プライベートジョブアーティファクトが誰でもアクセスできるようになる可能性があります。(CVE-2024-3959)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - GitLab CE/EE に問題が発見されました。これは、16.11.5 より前の 16.7 以降、17.0.3より前の 17.0 以降、および 17.1.1 より前の 17.1 以降のすべてのバージョンに影響を与え、プライベートジョブアーティファクトが誰でもアクセスできるようになる可能性があります。(CVE-2024-3959)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名稱	產品	系列	已發布	已更新	嚴重性
201096	FreeBSD : Gitlab -- Vulnerabilities (589de937-343f-11ef-8a7b-001b217b3468)	Nessus	FreeBSD Local Security Checks	2024/6/27	2024/12/16	high
201096	FreeBSD : Gitlab -- 脆弱性 (589de937-343f-11ef-8a7b-001b217b3468)	Nessus	FreeBSD Local Security Checks	2024/6/27	2024/12/16	high
201080	GitLab 16.7 < 16.11.5 / 17.0 < 17.0.3 / 17.1 < 17.1.1 (CVE-2024-3959)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
256013	Linux Distros Unpatched Vulnerability : CVE-2024-3959	Nessus	Misc.	2025/8/27	2025/8/27	medium
201080	GitLab 16.7 < 16.11.5/17.0 < 17.0.3/17.1 < 17.1.1 (CVE-2024-3959)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
256013	Linux Distros 未修补的漏洞：CVE-2024-3959	Nessus	Misc.	2025/8/27	2025/8/27	medium
201080	GitLab 16.7 <16.11.5/17.0 < 17.0.3/17.1 < 17.1.1 (CVE-2024-3959)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
256013	Linux Distros 未修補的弱點：CVE-2024-3959	Nessus	Misc.	2025/8/27	2025/8/27	medium
201080	GitLab 16.7 < 16.11.5 / 17.0 < 17.0.3 / 17.1 < 17.1.1 (CVE-2024-3959)	Nessus	CGI abuses	2024/6/27	2024/7/26	medium
256013	Linux Distros のパッチ未適用の脆弱性: CVE-2024-3959	Nessus	Misc.	2025/8/27	2025/8/27	medium

偵測

搜尋 Plugin

high

high

medium

medium

medium

medium

medium

medium

medium

medium