GitLab بهروزرسانیهای امنیتی را برای نسخه Community Edition (CE) و Enterprise Edition (EE) منتشر کرد تا هشت نقص امنیتی از جمله یک باگ حیاتی با شناسه CVE-2024- 9164 و امتیاز 9.6 را برطرف کند.
اکسپلویت موفقیتآمیز آسیبپذیری CVE-2024- 9164، میتواند امکان اجرای pipeline پیوسته، یکپارچهسازی و تحویل مداوم (CI/CD) در شاخههای دلخواه را برای نفوذگران فراهم سازد. بر اساس بردار حمله این آسیبپذیری، اکسپلویت آن از طریق شبکه خارجی و از راه دور امکانپذیر است و چندان به شرایط خاصی نیاز نیست، این حمله با نیاز به سطح دسترسی اولیه پایین و بدون تایید کاربر انجام میشود. همه نسخههای از 12.5 قبل از 17.2.9، از 17.3، قبل از 17.3.5 و از 17.4 قبل از 17.4.2 تحت تاثیر قرار دارند.
از هفت مورد باقیمانده، چهار مورد دارای شدت بالا CVE-2024-8970 (امتیاز CVSS: 8.2)، CVE-2024-8977 (امتیاز CVSS: 8.2)، CVE-2024-9631 (امتیاز CVSS: 7.5)، CVE-2024-6530 (امتیاز CVSS: 7.3)، دو مورد متوسط CVE-2024-9623 (امتیاز CVSS: 4.9) و CVE-2024-5005 (امتیاز CVSS: 4.3) و دیگری با شدت پایین CVE-2024-9596 (امتیاز CVSS: 3.7) رتبهبندی شده اند.
https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html