GitLab phát hành bản vá cho lỗ hổng trong GitLab CE/EE

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
GitLab phát hành bản vá cho lỗ hổng trong GitLab CE/EE
Một lỗ hổng nghiêm trọng (điểm CVSS: 9.6) có mã định danh CVE-2023-2478 đã được phát hiện trong GitLab Community Edition (CE) và Enterprise Edition (EE).

Anh-whitehat-vn.png

Lỗ hổng còn có tên gọi là Malicious Runner Attachment via GraphQL, ảnh hưởng đến tất cả các phiên bản GitLab CE và EE sau:
  • Từ phiên bản 15.4 đến trước 15.9.7
  • Từ phiên bản 15.10 đến trước 15.10.6
  • Từ phiên bản 15.11 đến trước 15.11.2
Trong một số điều kiện nhất định, bất kỳ tài khoản người dùng GitLab nào trên phiên bản bị ảnh hưởng đều có thể khai thác điểm cuối GraphQL để đính kèm trình độc hại vào bất kỳ project nào trong phiên bản. Lỗ hổng này khiến các project dễ bị truy cập và can thiệp trái phép, gây ra một rủi ro đáng kể đối với sự an toàn và bảo mật của dữ liệu.

GitLab đã kịp thời phát hành các phiên bản 15.11.2, 15.10.6 và 15.9.7 cho cả GitLab CE và EE để giải quyết lỗ hổng quan trọng. Người dùng được khuyến khích nâng cấp cài đặt GitLab của họ ngay lập tức để giảm thiểu rủi ro do lỗ hổng gây ra. Các bản vá đảm bảo rằng tệp đính kèm trình độc hại thông qua GraphQL không còn tồn tại nữa, bảo vệ các project khỏi bị truy cập trái phép.

Lỗ hổng được báo cáo thông qua chương trình bug bounty của GitLab.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-2478 gitlab ce/ee
Bên trên