آسیب‌پذیری جدید GitLab (CVE-2024- 9164) می‌تواند منجر به اجرای دلخواه CI/CD Pipeline شود

security news

GitLab به‌روزرسانی‌های امنیتی را برای نسخه Community Edition (CE) و Enterprise Edition (EE) منتشر کرد تا هشت نقص امنیتی از جمله یک باگ حیاتی با شناسه CVE-2024- 9164 و امتیاز 9.6 را برطرف کند.

اکسپلویت موفقیت‌آمیز آسیب‌پذیری CVE-2024- 9164، می‌تواند امکان اجرای pipeline پیوسته، یکپارچه‌سازی و تحویل مداوم (CI/CD) در شاخه‌های دلخواه را برای نفوذگران فراهم سازد. بر اساس بردار حمله این آسیب‌پذیری، اکسپلویت آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است و چندان به شرایط خاصی نیاز نیست، این حمله با نیاز به سطح دسترسی اولیه پایین و بدون تایید کاربر انجام می‌شود. همه نسخه‌های از 12.5 قبل از 17.2.9، از 17.3، قبل از 17.3.5 و از 17.4 قبل از 17.4.2 تحت تاثیر قرار دارند.

از هفت مورد باقیمانده، چهار مورد دارای شدت بالا CVE-2024-8970 (امتیاز CVSS: 8.2)، CVE-2024-8977 (امتیاز CVSS: 8.2)، CVE-2024-9631 (امتیاز CVSS: 7.5)، CVE-2024-6530 (امتیاز CVSS: 7.3)، دو مورد متوسط CVE-2024-9623 (امتیاز CVSS: 4.9) و CVE-2024-5005 (امتیاز CVSS: 4.3) ​​و دیگری با شدت پایین CVE-2024-9596 (امتیاز CVSS: 3.7) رتبه‌بندی شده اند.

https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html