Kritikus sebezhetőség a GitLab termékekben

A GitLab Community és Enterprise Edition termékek bizonyos verzióiban kritikus sebezhetőséget fedeztek fel. A CVE-2024-5655, amely potenciálisan lehetővé teszi a támadók számára, hogy bármelyik felhasználóként futtassanak pipeline-okat. A GitLab, egy széles körben használt webalapú projektkezelő és munkakövető platform, arra kéri a becslések szerint egymillió aktív licenc felhasználóját, hogy azonnal frissítsék telepítéseiket. A sebezhetőség a GitLab CE/EE 15.8-tól 16.11.4-ig, 17.0.0-tól 17.0.2-ig és 17.1.0-tól 17.1.0-ig terjedő verzióit érinti. A probléma súlyossági besorolása 9,6 a 10-ből.

A GitLab a 17.1.1, 17.0.3 és 16.11.5 frissített verziók kiadásával orvosolta a sebezhetőséget, és azt javasolja a felhasználóknak, hogy haladéktalanul alkalmazzák ezeket a frissítéseket. A frissítések két jelentős változást is hoznak: a pipeline-ok többé nem futnak automatikusan, ha egy egyesítési kérelmet újra célba vesznek, és a CI_JOB_TOKEN a 17.0.0-s verziótól kezdve alapértelmezés szerint le van tiltva a GraphQL hitelesítéshez. A frissítés emellett 13 további probléma biztonsági javítását tartalmazza, amelyek közül három magas súlyosságúnak minősül, és a tárolt XSS, CSRF sebezhetőségeket, valamint a GitLab globális keresési funkciójának engedélyezési hibáit kezeli. A felhasználóknak ajánlott áttekinteniük a GitLab frissítéseit és a GitLab Runnerre vonatkozó irányelveket az átfogó védelem biztosítása érdekében.

(forrás)