GitLab oznámil bezpečnostné záplaty pre GitLab Community Edition (CE) a Enterprise Edition (EE), ktoré riešia 14 zraniteľností vrátane jednej kritickej a troch veľmi závažných chýb.
Kritický problém, sledovaný ako CVE-2024-5655 (CVSS skóre 9,6) a ovplyvňujúci verzie GitLab CE/EE novšie ako 15.8, 17.0 a 17.1, by mohol za určitých okolností umožniť útočníkovi spustiť kanál ako iný používateľ.
Podľa GitLab nemá žiadne dôkazy o tom, že by sa táto bezpečnostná chyba zneužívala na platformách, ktoré spravuje, ako sú GitLab.com a GitLab Dedicated inštancie.
Dve z riešených zraniteľností s vysokou závažnosťou zahŕňajú problém so skriptovaním medzi lokalitami (XSS), ktorý bolo možné importovať z projektu so škodlivými poznámkami k odovzdaniu (CVE-2024-4901), a problém s falšovaním požiadaviek medzi lokalitami (CSRF) v GraphQL. API, ktoré by mohlo viesť k vykonaniu ľubovoľných mutácií GraphQL (CVE-2024-4994).
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/gitlab-security-updates-patch-14-vulnerabilities