کشف آسیب‌پذیری بحرانی در GitLab

کشف آسیب‌پذیری بحرانی در GitLab

تاریخ ایجاد

 آسیب‌پذیری با شناسه CVE-2024-6678 و شدت 9.9 (بحرانی) از نوع کنترل نادرست دسترسی (Improper Access Control) در GitLab کشف شده است، این نقص امنیتی زمانی رخ می‌دهد که یک سیستم به‌ درستی دسترسی‌ها را محدود نکرده‌‌ باشد و این امکان را برای مهاجم و یا فرآیندهای غیرمجاز فراهم کند، که به منابع داده دسترسی پیدا کنند، این آسیب‌پذیری در GitLab CI/CD وجود دارد. که در GitLab به‌ منظور اتوماسیون فرآیندهای توسعه نرم‌افزار مانند کامپایل، تست، و استقرار استفاده می‌شوند. و مهاجم با هر سطح دسترسی می‌تواند به‌ صورت غیرمجاز pipeLine را اجرا کند.
این حمله می‌تواند به اجرای کد مخرب در سرورها، دسترسی به داده‌های حساس یا ایجاد تغییرات غیرمجاز در فرآیندهای توسعه منجر شود، که تهدیدی جدی برای امنیت سیستم محسوب می‌شود.

محصولات آسیب‌پذیر
GitLab Community Edition (CE) و GitLab Enterprise Edition (EE) ازنسخه 8.14 تا قبل از17.1.7 و نسخه‌های 17.2 تا قبل از 17.2.5 و نسخه‌های 17.3 تا قبل از 17.3.2 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که  در اسرع وقت محصولات تحت تاثیر را به نسخه‌های 17.3.2، 17.2.5، و 17.1.7 ارتقاء دهند.

منابع خبر:


[1] https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html?m=1
[2] https://www.cve.org/CVERecord?id=CVE-2024-6678