GitLab تعالج خللًا يسمح بتنفيذ أي مهمة في خط الأنابيب دون تصريح
تم اكتشاف مشكلة في GitLab CE/EE تؤثر على جميع الإصدارات التي تبدأ من 8.14 قبل 17.1.7، بدءًا من 17.2 قبل 17.2.5، وتبدأ من 17.3 قبل 17.3.2، مما يسمح للمهاجم بتشغيل خط أنابيب كما هو موضح في الصورة
خط الأنابيب…أصدر GitLab يوم الأربعاء تحديثات أمنية لمعالجة 17 ثغرة أمنية، بما في ذلك خلل خطير يسمح للمهاجم بتشغيل وظائف خطوط الأنابيب كمستخدم عشوائي.
تحمل المشكلة، التي تحمل الاسم CVE-2024-6678، درجة CVSS تبلغ 9.9 من 10.0 كحد أقصى.
“تم اكتشاف مشكلة في GitLab CE/EE تؤثر على جميع الإصدارات التي تبدأ من 8.14 قبل 17.1.7، بدءًا من 17.2 قبل 17.2.5، وتبدأ من 17.3 قبل 17.3.2، مما يسمح للمهاجم بتشغيل خط أنابيب كما هو موضح في الصورة. مستخدم تعسفي في ظل ظروف معينة” الشركة قال في تنبيه.
تمت معالجة الثغرة الأمنية، بالإضافة إلى ثلاثة أخطاء عالية الخطورة و11 خطأ متوسط الخطورة واثنين من الأخطاء منخفضة الخطورة، في الإصدارات 17.3.2 و17.2.5 و17.1.7 لإصدار مجتمع GitLab (CE) وإصدار Enterprise (EE) ).
تجدر الإشارة إلى أن CVE-2024-6678 هو الخلل الرابع من نوعه الذي قام GitLab بتصحيحه خلال العام الماضي بعد CVE-2023-5009 (درجة CVSS: 9.6)، وCVE-2024-5655 (درجة CVSS: 9.6)، وCVE- 2024-6385 (درجة CVSS: 9.6).
على الرغم من عدم وجود دليل على الاستغلال النشط للعيوب، يُنصح المستخدمون بتطبيق التصحيحات في أقرب وقت ممكن للتخفيف من التهديدات المحتملة.
في وقت سابق من شهر مايو، كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أن ثغرة أمنية حرجة في GitLab (CVE-2023-7028، درجة CVSS: 10.0) قد تعرضت للاستغلال النشط في البرية.
