En sårbarhed er blevet identificeret i GitLab CE/EE, påvirker alle versioner fra 16.0 til 16.5.8, 16.6 til 16.6.6, 16.7 til 16.7.4, og 16.8 til 16.8.1. Denne fejl gør det muligt for godkendte brugere at skrive filer til enhver placering på GitLab-serveren under processen med at oprette et arbejdsområde.
Spores som CVE-2024-0402, sårbarheden holder højt CVSS-score på 9.9 ud af 10, understreger dens alvor.
CVE-2024-0402: Korte Teknisk oversigt
Det identificerede problem påvirker GitLab CE/EE-versioner fra 16.0 til 16.5.8, 16.6 til 16.6.6, 16.7 til 16.7.4, og 16.8 til 16.8.1. Det giver godkendte brugere mulighed for at skrive filer til vilkårlige placeringer på GitLab-serveren under oprettelse af et arbejdsområde. GitLab løste omgående problemet med patches, backporteret til versioner 16.5.8, 16.6.6, 16.7.4, og 16.8.1.
Ud over at rette den kritiske fejl, GitLab tacklede fire svagheder af medium sværhedsgrad i den seneste opdatering. Disse omfatter sårbarheder, der kan føre til denial-of-service af regulære udtryk (ReDoS), HTML-indsprøjtning, og utilsigtet offentliggørelse af en brugers offentlige e-mailadresse gennem tags RSS feed.
Dette frigøre følger en tidligere opdatering af GitLab for to uger siden, hvor DevSecOps-platformen løste to kritiske mangler, hvoraf den ene kunne udnyttes til at overtage konti uden brugerinteraktion (CVE-2023-7028, CVSS-score: 10.0).
CVE-2023-7028 blev rapporteret af sikkerhedsforskeren 'Asterion’ gennem HackerOne bug bounty platformen. Det blev indført i maj 1, 2023, med version 16.1.0, påvirker forskellige versioner, inklusive de foregående 16.7.2. GitLab anbefaler på det kraftigste brugere enten at opdatere til de patchede versioner (16.7.2, 16.5.6, og 16.6.4) eller implementer rettelsen, som er blevet backporteret til versioner 16.1.6, 16.2.9, og 16.3.7.
For at mindske potentielle risici, brugere rådes kraftigt til omgående at opgradere deres GitLab-installationer til den patchede version. Det er bemærkelsesværdigt, at GitLab.com og GitLab Dedikerede miljøer allerede kører den seneste version, understreger vigtigheden af at holde software opdateret for at forbedre sikkerhedsforanstaltningerne og beskytte mod nye trusler.