Компания рекомендует срочно обновиться для защиты от потенциальных атак.
GitLab Для просмотра ссылки Войдиили Зарегистрируйся для устранения 14 уязвимостей, включая одну критическую, которая может позволить злоумышленникам запускать CI/CD пайплайны от имени любого пользователя. Выявленные недостатки затрагивают GitLab Community Edition (CE) и Enterprise Edition (EE).
Наиболее серьёзная из найденных уязвимостей — Для просмотра ссылки Войдиили Зарегистрируйся с оценкой 9.6 по CVSS . Она позволяет злоумышленнику запускать пайплайн от имени другого пользователя при определённых условиях. Эта уязвимость влияет на следующие версии GitLab CE и EE:
Среди других важных уязвимостей, исправленных в последнем обновлении:
GitLab Для просмотра ссылки Войди
Наиболее серьёзная из найденных уязвимостей — Для просмотра ссылки Войди
- с версии 17.1 до 17.1.1;
- с версии 17.0 до версии 17.0.3;
- с версии 15.8 до версии 16.11.5.
Среди других важных уязвимостей, исправленных в последнем обновлении:
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка 8.7 по CVSS) — уязвимость XSS, которая может быть импортирована из проекта с вредоносными примечаниями к коммитам. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка 8.1 по CVSS) — атака CSRF на GraphQL API GitLab, позволяющая выполнить произвольные мутации GraphQL. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка 7.5 по CVSS) — ошибка авторизации в глобальном поиске, делающая возможной утечку конфиденциальной информации из частного репозитория в рамках публичного проекта. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка 6.8 по CVSS) — уязвимость межоконной подделки, позволяющая злоумышленнику злоупотребить OAuth-аутентификацией через специально сформированный запрос.
- Источник новости
- www.securitylab.ru