Компания GitLab предупреждает пользователей о необходимости устранить уязвимость в GitLab Enterprise Edition. Уязвимость, обозначенная как CVE-2023-5009, позволяет злоумышленнику злоупотребить расписанием сканирования безопасности программного обеспечения для “запуска конвейеров от имени произвольного пользователя”. Уязвимость имеет рейтинг по системе общих уязвимостей (CVSS) 9,8. Уязвимое может быть экземпляром, если включены две функции: прямой перенос и правила безопасности. Прямой перенос – это функция, обеспечивающая миграцию групп и проектов путем прямого переноса, а правила безопасности поддерживают запуск сканирования по расписанию или в рамках конвейера проекта. Рекомендуется отключить эти функции пользователям, которые не могут обновиться. Уязвимость влияет на “все версии, начиная с 13.12 до 16.2.7 и все версии, начиная с 16.3 до 16.3.4”. В сообщении GitLab отмечается, что проблема возникла из-за обхода исправления для предыдущей почти идентичной уязвимости CVE-2023-3932, которая имеет рейтинг CVSS 6,5 и была исправлена в августе. Последнюю ошибку сообщил Johan Carlsson (joaxcar) через HackerOne.
Оригинальная новость на сайте
