Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.
GitLab Для просмотра ссылки Войдиили Зарегистрируйся для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки.
«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».
Основная проблема с рейтингом 8.0 баллов по шкале CVSS , зарегистрированная как Для просмотра ссылки Войдиили Зарегистрируйся представляет собой XSS-уязвимость в редакторе кода VS (Web IDE). С её помощью злоумышленники могут похищать конфиденциальную информацию, используя специально созданные для этого страницы. Хотя для эксплуатации данной уязвимости не требуется аутентификация, взаимодействие с пользователем всё ещё необходимо, что несколько усложняет проведение атаки.
Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( Для просмотра ссылки Войдиили Зарегистрируйся ) и уязвимость отказа в обслуживании, позволяющую нарушителям нарушать загрузку веб-ресурсов GitLab ( Для просмотра ссылки Войди или Зарегистрируйся ).
С полным перечнем уязвимости и их подробным описанием можно ознакомиться Для просмотра ссылки Войдиили Зарегистрируйся
GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.
Ранее в этом месяце агентство CISA Для просмотра ссылки Войдиили Зарегистрируйся что злоумышленники активно эксплуатируют ещё одну уязвимость в GitLab, позволяющую захватывать учётные записи без взаимодействия с пользователем.
Зарегистрированная как Для просмотра ссылки Войдиили Зарегистрируйся данная брешь имеет максимальный уровень опасности (10.0 по CVSS) и позволяет неаутентифицированным злоумышленникам захватывать учётные записи GitLab через сброс пароля.
Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.</span>
GitLab Для просмотра ссылки Войди
«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».
Основная проблема с рейтингом 8.0 баллов по шкале CVSS , зарегистрированная как Для просмотра ссылки Войди
Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( Для просмотра ссылки Войди
С полным перечнем уязвимости и их подробным описанием можно ознакомиться Для просмотра ссылки Войди
GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.
Ранее в этом месяце агентство CISA Для просмотра ссылки Войди
Зарегистрированная как Для просмотра ссылки Войди
Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.</span>
- Источник новости
- www.securitylab.ru