کشف آسیب‌پذیری در GitLab

کشف آسیب‌پذیری در GitLab

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-4024 و شدت بالا (7.3) در GitLab CE/EE شناسایی شده است. Bitbucket یک سرویس هاست برای code repository  مبتنی بر Git است. طبق بررسی‌های صورت گرفته هنگامی که از Bitbucket به عنوان یک ارائه دهنده OAuth 2.0 در GitLab استفاده شود، مهاجم با اعتبار حساب Bitbucket  و بهره‌برداری از این نقص می‌تواند کنترل یک حساب کاربری GitLab را به دست آورد.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N بهره‌برداری از آن‌ها از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR:L) و به تعامل کاربر نیاز دارند (UI:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:N).


محصولات تحت تأثیر
این آسیب‌پذیری‌ نسخه‌های 7.8 تا 16.9.6، از 16.10 تا 16.10.4 و از 16.11 تا 16.11.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران نسخه خود را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-4024