Actualizări de securitate GitLab ce remediază 14 vulnerabilități

GitLab a anunțat actualizări de securitate pentru GitLab Community Edition (CE) și Enterprise Edition (EE) care remediază 14 vulnerabilități, inclusiv una critică și trei cu grad de severitate ridicat.

Vulnerabilitatea critică, CVE-2024-5655 (scor CVSS de 9.6), afectează versiunile GitLab CE/EE mai noi decât 15.8, 17.0 și 17.1 și ar putea permite unui atacator să inițieze o conexiune ca alt utilizator în anumite circumstanțe.

Potrivit companiei GitLab, nu există informații privind exploatarea acestei vulnerabilități pe nici una dintre platformele gestionate de aceștia.

Două dintre vulnerabilitățile cu severitate crescuta remediate sunt: una de tip XSS (cross-site scripting) care ar putea fi importata dintr-un proiect ce conține note malițioase (CVE-2024-4901) și una de tip CSRF (cross-site request forgery) în API GraphQL care ar putea duce la executarea de mutații GraphQL arbitrare (CVE-2024-4994).

De asemenea, actualizările GitLab EE remediază o vulnerabilitate de autorizare necorespunzătoare în funcția de căutare globală (CVE-2024-6323) ce ar putea permite unui atacator să extragă conținut dintr-un depozit privat și să îl mute într-un proiect public.

Cele mai recente versiuni GitLab abordează, de asemenea, nouă vulnerabilități cu severitate medie de tip OAuth authentication flow abuse, the deletion of the merge request approval policy, denial-of-service (DoS), improper access to private job artifacts, resource exhaustion via banzai pipeline, merge request titles to be publicly visible, and to access to issues and epics without having an SSO session.

Versiunile GitLab CE/EE 17.1.1, 17.0.3 și 16.11.5 includ actualizări pentru toate aceste vulnerabilități. Utilizatorii sunt sfătuiți să aplice actualizările de securitate cât mai curând posibil.

Sursă: https://www.securityweek.com/gitlab-security-updates-patch-14-vulnerabilities/