Новости Не ждите, пока ваш аккаунт взломают: CVE-2024-4835 касается каждого разработчика

[NewsMaker]

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.

---

---

GitLab Для просмотра ссылки Войди или Зарегистрируйся для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки.

«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».

Основная проблема с рейтингом 8.0 баллов по шкале CVSS , зарегистрированная как Для просмотра ссылки Войди или Зарегистрируйся представляет собой XSS-уязвимость в редакторе кода VS (Web IDE). С её помощью злоумышленники могут похищать конфиденциальную информацию, используя специально созданные для этого страницы. Хотя для эксплуатации данной уязвимости не требуется аутентификация, взаимодействие с пользователем всё ещё необходимо, что несколько усложняет проведение атаки.

Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( Для просмотра ссылки Войди или Зарегистрируйся ) и уязвимость отказа в обслуживании, позволяющую нарушителям нарушать загрузку веб-ресурсов GitLab ( Для просмотра ссылки Войди или Зарегистрируйся ).

С полным перечнем уязвимости и их подробным описанием можно ознакомиться Для просмотра ссылки Войди или Зарегистрируйся

GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.

Ранее в этом месяце агентство CISA Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники активно эксплуатируют ещё одну уязвимость в GitLab, позволяющую захватывать учётные записи без взаимодействия с пользователем.

Зарегистрированная как Для просмотра ссылки Войди или Зарегистрируйся данная брешь имеет максимальный уровень опасности (10.0 по CVSS) и позволяет неаутентифицированным злоумышленникам захватывать учётные записи GitLab через сброс пароля.

Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.</span>