Uma vulnerabilidade foi identificada no GitLab CE/EE, impactando todas as versões de 16.0 para 16.5.8, 16.6 para 16.6.6, 16.7 para 16.7.4, e 16.8 para 16.8.1. Esta falha permite que usuários autenticados gravem arquivos em qualquer local no servidor GitLab durante o processo de criação de um espaço de trabalho.
Rastreado como CVE-2024-0402, a vulnerabilidade tem um alto pontuação CVSS de 9.9 fora de 10, enfatizando sua gravidade.
CVE-2024-0402: Curto Visão geral técnica
O problema identificado afeta as versões do GitLab CE/EE de 16.0 para 16.5.8, 16.6 para 16.6.6, 16.7 para 16.7.4, e 16.8 para 16.8.1. Ele permite que usuários autenticados gravem arquivos em locais arbitrários no servidor GitLab durante a criação do espaço de trabalho. GitLab resolveu prontamente o problema com patches, backportado para versões 16.5.8, 16.6.6, 16.7.4, e 16.8.1.
Além de corrigir a falha crítica, GitLab abordou quatro vulnerabilidades de gravidade média na atualização mais recente. Isso inclui vulnerabilidades que podem levar à negação de serviço de expressões regulares (ReDoS), Injeção de HTML, e a divulgação não intencional do endereço de e-mail público de um usuário por meio de tags de feed RSS.
este liberação segue uma atualização anterior do GitLab há duas semanas, onde a plataforma DevSecOps resolveu duas deficiências críticas, um dos quais poderia ser explorado para assumir o controle de contas sem qualquer interação do usuário (CVE-2023-7028, pontuação CVSS: 10.0).
CVE-2023-7028 foi relatado pelo pesquisador de segurança 'Asterion’ através da plataforma de recompensas de bugs HackerOne. Foi apresentado em maio 1, 2023, com versão 16.1.0, afetando várias versões, incluindo os anteriores 16.7.2. O GitLab recomenda fortemente que os usuários atualizem para as versões corrigidas (16.7.2, 16.5.6, e 16.6.4) ou implementar a correção, que foi portado para versões 16.1.6, 16.2.9, e 16.3.7.
Para mitigar riscos potenciais, os usuários são fortemente aconselhados a atualizar imediatamente suas instalações do GitLab para a versão corrigida. Vale ressaltar que os ambientes GitLab.com e GitLab Dedicated já estão rodando a versão mais recente, sublinhando a importância de manter o software atualizado para melhorar as medidas de segurança e proteger contra ameaças emergentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: