Новости Не ждите, пока ваш аккаунт взломают: CVE-2024-4835 касается каждого разработчика

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.


xxcqdp8ar36qmxsybv0xy4xu22khw0ah.jpg


GitLab Для просмотра ссылки Войди или Зарегистрируйся для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки.

«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».

Основная проблема с рейтингом 8.0 баллов по шкале CVSS , зарегистрированная как Для просмотра ссылки Войди или Зарегистрируйся представляет собой XSS-уязвимость в редакторе кода VS (Web IDE). С её помощью злоумышленники могут похищать конфиденциальную информацию, используя специально созданные для этого страницы. Хотя для эксплуатации данной уязвимости не требуется аутентификация, взаимодействие с пользователем всё ещё необходимо, что несколько усложняет проведение атаки.

Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( Для просмотра ссылки Войди или Зарегистрируйся ) и уязвимость отказа в обслуживании, позволяющую нарушителям нарушать загрузку веб-ресурсов GitLab ( Для просмотра ссылки Войди или Зарегистрируйся ).

С полным перечнем уязвимости и их подробным описанием можно ознакомиться Для просмотра ссылки Войди или Зарегистрируйся

GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.

Ранее в этом месяце агентство CISA Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники активно эксплуатируют ещё одну уязвимость в GitLab, позволяющую захватывать учётные записи без взаимодействия с пользователем.

Зарегистрированная как Для просмотра ссылки Войди или Зарегистрируйся данная брешь имеет максимальный уровень опасности (10.0 по CVSS) и позволяет неаутентифицированным злоумышленникам захватывать учётные записи GitLab через сброс пароля.

Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.</span>
 
Источник новости
www.securitylab.ru

Похожие темы