Vulnerabilitate critică în GitLab

GitLab a lansat din nou remedieri pentru o vulnerabilitate critică în versiunile sale Community Edition (CE) și Enterprise Edition (EE), care ar putea fi exploatată cu scopul de a suprascrie fișiere arbitrare în timpul creării unui spațiu de lucru.

Identificată ca CVE-2024-0402, vulnerabilitatea are un scor CVSS de 9,9/10.

“A fost descoperită o vulnerabilitate în GitLab CE/EE care afectează toate versiunile de la 16.0 până la 16.5.8, de la 16.6 până la 16.6.6, de la 16.7 până la 16.7.4 și de la 16.8 până la 16.8.1, permițând unui utilizator autentificat să scrie fișiere pe serverul GitLab în timpul creării unui spațiu de lucru,” a declarat GitLab într-un anunț emis la 25 ianuarie 2024.

Compania a menționat, de asemenea, că remedierile pentru această vulnerabilitate au fost incluse în versiunile 16.5.8, 16.6.6, 16.7.4 și 16.8.1.

Totodată, GitLab a rezolvat patru vulnerabilități de severitate medie care ar putea duce la atacuri de tip denial of service pentru expresii regulate (ReDoS), HTML injection și afișarea adresei de e-mail publică a unui utilizator prin fluxul de etichete RSS.

Cea mai recentă actualizare vine la două săptămâni după ce platforma DevSecOps a livrat remedieri pentru două vulnerabilități critice, inclusiv una care ar putea fi exploatată pentru colectarea conturilor fără a necesita interacțiunea utilizatorului (CVE-2023-7028, scor CVSS: 10.0).

Utilizatorii sunt sfătuiți să aplice actualizările la cele mai recente versiuni cât mai curând posibil pentru a reduce riscurile de exploatare.

Sursa: https://thehackernews.com/2024/01/urgent-upgrade-gitlab-critical.html