Популярная платформа управления исходным кодом GitLab была закрыта в пятницу по австралийскому времени от пяти уязвимостей, включая одну с критическим уровнем уязвимости.
Патчи применяются как к корпоративной, так и к общедоступной версиям GitLab.
Критическая уязвимость имеет номер CVE-2024-0402 и имеет оценку CVSS 9,9.
Открытый сотрудник GitLab Йерн Шнейвайс, обнаружил баг, позволяющий “аутентифицированному пользователю записывать файлы в произвольные места на сервере GitLab при создании рабочего пространства”.
Это означает, что злоумышленник может использовать уязвимость для распространения вредоносных программ, а также для кражи данных.
Это затрагивает “все версии от 16.0 до версии 16.5.8, от 16.6 до версии 16.6.6, от 16.7 до версии 16.7.4 и от 16.8 до версии 16.8.1”, сообщила GitLab в своем консультативном документе, с уязвимостью, устраненной в версии 16.8.1; исправление также было возвращено на версию 16.5.8.
В ранее в этом месяце, GitLab решила критическую уязвимость в получении доступа к учетной записи.
Четыре уязвимости со средним уровнем устранены в последнем релизе на прошлой неделе:
CVE-2023-6159 – Сбой в работе из-за злонамеренного регулярного выражения в карго-манифесте
CVE-2023-5933 – Неправильная санитария ввода имени пользователя обеспечивает произвольные запросы API PUT
CVE-2023-5612 – Разглашение пользовательских адресов электронной почты через RSS-канал тегов
CVE-2024-0456 – Неуполномоченный злоумышленник может назначить любого пользователя на объединение запросов на объединение в проекте
Произведены также патчи для внешних пакетов, библиотеки libxml2 и redis, от имеющихся уязвимостей.
Оригинальная новость на сайте
