GitLab устраняет критическую уязвимость, позволяющую несанкционированно запускать задания

Компания GitLab выпустила новые обновления для своей платформы разработки ПО, устраняя при этом критическую уязвимость, которая позволяла злоумышленникам запускать задания в конвейерах от имени других пользователей. Уязвимость, получившая обозначение CVE-2024-6385, оценивается по шкале CVSS в 9.6 баллов из 10 возможных.

Проблема затрагивает версии GitLab CE/EE с 15.8 до 16.11.6, 17.0 до 17.0.4, и 17.1 до 17.1.2, и была оперативно устранена в обновлениях. Стоит отметить, что ранее в прошлом месяце компания также исправила похожую уязвимость (CVE-2024-5655), которая позволяла аналогичным образом манипулировать конвейерами.

Вместе с критическим исправлением, GitLab также устранил уязвимость средней степени тяжести (CVE-2024-5257), которая позволяла пользователю с правами администратора на уровне compliance framework изменять URL пространств для групп.

Эти обновления были внедрены в версиях Community Edition (CE) и Enterprise Edition (EE) GitLab, что подчеркивает важность своевременного обновления ПО для предотвращения потенциальных угроз.

На фоне этих событий американское Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Федеральное бюро расследований (FBI) выпустили новый бюллетень, призывая производителей технологий устранять уязвимости, связанные с инъекцией системных команд, которые позволяют злоумышленникам выполнять код на удаленных устройствах.