Kritične ranjivosti u GitLabu

Dana 9. listopada 2024. tvrtka GitLab je izdala sigurnosnu objavu o nekoliko kritičnih ranjivosti u GitLab EE/CE verzijama od 8.16 do 17.4.1. Preporučuje se žurno ažuriranje zahvaćenih sustava.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
  • Ranjivost CVE-2024-9164 (CVSS ocjena 9.6), omogućuje neovlaštenim korisnicima izvršavanje pipelinea na razvojnim varijantama kôda (engl. branch) bez odgovarajućih dozvola, što dovodi do neovlaštenog izvršavanja kôda. 
  • Ranjivost CVE-2024-8970 (CVSS ocjena 8.2), omogućuje napadaču da pod određenim okolnostima pokrene pipeline kao drugi korisnik, što može rezultirati potencijalno neovlaštenim radnjama. 
  • Ranjivost CVE-2024-8977 (CVSS ocjena 8.2), predstavlja Server-Side Request Forgery (SSRF) ranjivost u Analytics Dashboardu, omogućujući napadačima neovlašteno slanje mrežnih zahtjeva.
Zahvaćeni proizvodi:
  • GitLab CE/EE verzije od 8.16 do 17.4.1.
Preporuke:
Preporučuje se žurna nadogradnja ranjivih verzija sustava na najnoviju dostupnu ispravljenu verziju.
 
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 17.10.2024 - 08:09]