آسیبپذیری با شناسه CVE-2024-6678 و شدت 9.9 (بحرانی) از نوع کنترل نادرست دسترسی (Improper Access Control) در GitLab کشف شده است، این نقص امنیتی زمانی رخ میدهد که یک سیستم به درستی دسترسیها را محدود نکرده باشد و این امکان را برای مهاجم و یا فرآیندهای غیرمجاز فراهم کند، که به منابع داده دسترسی پیدا کنند، این آسیبپذیری در GitLab CI/CD وجود دارد. که در GitLab به منظور اتوماسیون فرآیندهای توسعه نرمافزار مانند کامپایل، تست، و استقرار استفاده میشوند. و مهاجم با هر سطح دسترسی میتواند به صورت غیرمجاز pipeLine را اجرا کند.
این حمله میتواند به اجرای کد مخرب در سرورها، دسترسی به دادههای حساس یا ایجاد تغییرات غیرمجاز در فرآیندهای توسعه منجر شود، که تهدیدی جدی برای امنیت سیستم محسوب میشود.
محصولات آسیبپذیر
GitLab Community Edition (CE) و GitLab Enterprise Edition (EE) ازنسخه 8.14 تا قبل از17.1.7 و نسخههای 17.2 تا قبل از 17.2.5 و نسخههای 17.3 تا قبل از 17.3.2 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیههای امنیتی
به کاربران توصیه میشود که در اسرع وقت محصولات تحت تاثیر را به نسخههای 17.3.2، 17.2.5، و 17.1.7 ارتقاء دهند.
منابع خبر:
[1] https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html?m=1
[2] https://www.cve.org/CVERecord?id=CVE-2024-6678
- 157