آسیب‌پذیری بحرانی در GitLab

آسیب‌پذیری بحرانی در GitLab

تاریخ ایجاد

به‌روزرسانی‌های امنیتی GitLab، برای رسیدگی به یک آسیب‌پذیری بحرانی منتشر شده است که به مهاجمان اجازه می‌دهد خطوط لوله را مانند سایر کاربران از طریق سیاست‌های اسکن امنیتی برنامه‌ریزی شده اجرا کنند.

جزئیات آسیب‌پذیری
GitLab یک پلت‌فرم مدیریت پروژه و ردیابی نرم‌افزار منبع باز مبتنی بر وب است که نسخه رایگان و تجاری آن را ارائه می‌دهد.
این آسیب‌پذیری با عنوان CVE-2023-4998 و امتیاز 9.6 ارزیابی شده است.
جعل هویت کاربران بدون مجوز آنها، برای اجرای وظایف خط لوله، می‌تواند منجر به دسترسی مهاجمان به اطلاعات حساس یا بهره‌برداری از مجوزهای کاربران جعل شده برای اجرای کد، تغییر داده‌ها یا راه‌اندازی رویدادهای خاص در سیستم GitLab شود.
با توجه به اینکه GitLab برای مدیریت کد استفاده می شود، این آسیب‌پذیری می‌تواند منجر به آسیب رساندن به نشت داده‌ها، حملات زنجیره تامین و سایر سناریوهای پرخطر شود.
اکسپلویت موفقیت‌آمیز از آسیب‌پذیری CVE-2023-5009 می‌تواند به یک مهاجم اجازه دهد به اطلاعات حساس دسترسی داشته باشد یا از مجوزهای بالاتر کاربر جعل شده برای تغییر کد منبع یا اجرای کد بر روی سیستم استفاده کند.

محصولات تحت تأثیر
این آسیب‌پذیری در GitLab نسخه‌های  13,12تا 16,2,7 و 16,3 تا 16,3,4 تاثیرگذار بوده است.

توصیه‌های امنیتی
به کاربران توصیه شده است، برای محافظت در برابر خطرات احتمالی، به‌روزرسانی‌های امنیتی  را اعمال کنند. نسخه‌های 16,3,4  و 16,2,7 آسیب‌پذیریCVE-2023-5009 را برطرف کرده‌اند.
از کاربران نسخه‌های قبل از 16,2 که رفع مشکل امنیتی را دریافت نکرده‌اند، خواسته شده است انتقال مستقیم و سیاست‌های امنیتی را فعال نکنند. انتقال مستقیم، قابلیتی است که امکان مهاجرت گروه ها و پروژه ها را با انتقال مستقیم فراهم می کند. در حالی که سیاست‌های امنیتی، از اسکن‌هایی که بر اساس زمان‌بندی یا در خط لوله پروژه اجرا می‌شوند، پشتیبانی می‌کنند.
در صورت فعال بودن هر دو ویژگی، نمونه آسیب‌پذیر خواهد بود.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-c…
[2] https://thehackernews.com/2023/09/gitlab-releases-urgent-security-patches.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-5009
[4]https://www.itnews.com.au/news/gitlab-patches-critical-vulnerability-600436?utm_source=feed&utm_med…