به تازگی NSFOCUS CERTیک آسیبپذیری بحرانی با شناسه cve-2024-0402 و شدت 9.9 در GitLab کشف کرده است این آسیبپذیری مربوط به نوشتن فایل دلخواه در GitLab Community Edition (CE) و Enterprise Edition (EE) میباشد که به دلیل نقص پیمایش مسیر، مهاجم احراز هویت شده میتواند هنگام ایجاد فضاهای کاری، فایلها را در هر مکانی در سرور GitLab بازنویسی نمایند.
نسخه های تحت تأثیر
این آسیبپذیری نسخه های زیر را تحت تاثیر قرار می دهد:
• 16.0 <= GitLab CE/EE < 16.5.8
• 16.6 <= GitLab CE/EE < 16.6.6
• 16.7 <= GitLab CE/EE < 16.7.4
• 16.8 <= GitLab CE/EE < 16.8.1
اما به گزارش شرکت NSFOCUS CERT نسخه های زیر تحت تاثیر قرار نمیگیرند:
• GitLab CE/EE >= 16.6.6
• GitLab CE/EE >= 16.7.4
• GitLab CE/EE >= 16.8.1
توصیههای امنیتی
کاربران میتوانند برای مشاهده نسخه GitLab خود از دستور زیر استفاده کنند:
cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
در حال حاضر این آسیب پذیری در آخرین نسخه GitLab به طور رسمی رفع شده است:
https://about.gitlab.com/update/
* اگر نمیتوانید GitLab خود را ارتقاء دهید، به طور موقت میتوانید از لیست سفید برای محدود کردن دسترسی به پورت وب استفاده کنید.
منبع خبر:
- 59