Разработчики GitLab предупредили о критической уязвимости в GitLab Community (CE) и Enterprise (EE), которая позволяет злоумышленникам запускать pipeline jobs от лица любого другого пользователя.

Уже исправленная уязвимость имеет идентификатор CVE-2024-6385 и набрала 9,6 балла по шкале оценки уязвимостей CVSS.

Проблема затрагивает все версии GitLab CE/EE с 15.8 по 16.11.6, с 17.0 по 17.0.4, а также с 17.1 по 17.1.2. Подчеркивается, что при определенных обстоятельствах (которые GitLab пока не раскрывает) злоумышленники могут использовать уязвимость для запуска нового пайплайна от имени произвольного пользователя.

Пайплайны GitLab это Continuous Integration/Continuous Deployment (CI/CD) система, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде.

Разработчики выпустили GitLab Community и Enterprise версий 17.1.2, 17.0.4 и 16.11.6 для устранения критической проблемы и рекомендуют всем администраторам как можно скорее установить обновления.

Стоит отметить, что в конце июня текущего года GitLab патчила почти аналогичную уязвимость (CVE-2024-5655), которую тоже можно было использовать для запуска пайплайнов от имени других пользователей.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии