Kritiska sårbarheter i Gitlab
Gitlab har publicerat säkerhetsuppdateringar för flera allvarliga sårbarheter i GitLab Community Edition (CE) och Enterprise Edition (EE), varav en anses kritisk. [1]
Den kritiska sårbarheten (CVE-2024-5655, CVSS-klassning 9,6 av 10) gör det möjligt för en angripare att köra godtycklig kod i pipelines som en autentiserad användare, inkluderat admins. Detta kan medföra att en angripare kan ta full kontroll över sårbara system. Känslig information och kod kan också läcka ut till följd av att sårbarheten utnyttjats.
För att kunna utnyttja sårbarheten krävs att angriparen har tillgång till en användare med tillgång till det specifika projektet.
Övriga sårbarheter - bland annat CVE-2024-4901 (CVSS på 8,5) och CVE-2024-4994 (CVSS på 8,1) - anses allvarliga och påverkar samma produkter.
Gitlab har publicerat uppdateringar som rättar sårbarheterna. [1]
Påverkade produkter
Sårbarheterna berör följande versioner av GitLab Community Edition (CE) och Enterprise Edition (EE):
15.8 till 16.11.4
17.0 till 17.0.2
17.1 till 17.1.0
Rekommendationer
CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som det är möjligt och följa instruktionerna i [1] i övrigt.
Källor
[1] https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released