GitLab lansează o actualizare critică de securitate

GitLab a lansat o actualizare critică de securitate care remediază mai multe vulnerabilități. Printre acestea, cele critice sunt: CVE-2024-6678, CVE-2024-8640, CVE-2024-8635 și CVE-2024-8124.

GitLab recomandă ca toate aplicațiile care rulează versiunile afectate să fie actualizate la cele mai recente versiuni cu actualizări (17.3.2, 17.2.5 și 17.1.7) cât mai curând posibil pentru a reduce potențialele riscuri de securitate.

Cea mai critică vulnerabilitate, identificată drept CVE-2024-6678, ar putea permite unui atacator să declanșeze o conexiune ca alt utilizator în anumite circumstanțe. Această eroare are un scor CvSS de 9,6/10.

O altă vulnerabilitate cu severitate high, CVE-2024-8635, este o eroare de tip server-side-side request forgery (SSRF) ce afectează GitLab Enterprise Edition. Exploatarea acesteia ar putea permite unui atacator să facă solicitări către resurse interne utilizând o adresă URL Maven Dependency Proxy personalizată.

CVE-2024-8124 este o vulnerabilitate de tip DoS (denial-of-service) cu severitate high care ar putea fi declanșată prin trimiterea unui parametru glm_source mare. Această eroare afectează edițiile GitLab Community și Enterprise.

O altă vulnerabilitate cu severitate high, CVE-2024-8640, a fost cauzată de o eroare de filtrare incompletă a intrărilor, astfel încât a fost posibilă injectarea de comenzi într-un server Cube conectat în GitLab EE.

Pe lângă aceasta, GitLab a mai remediat o serie de vulnerabilități cu severitate medie și scăzută. Exploatarea acestora ar putea duce la acces neautorizat, escaladarea privilegiilor și compromiterea potențială a datelor și sistemelor sensibile.

GitLab îndeamnă toți utilizatorii să își actualizeze imediat instalațiile la cele mai recente versiuni actualizate (17.3.2, 17.2.5 și 17.1.7).

Sursă: https://cybersecuritynews.com/gitlab-critical-security-update/