یک آسیبپذیری با شناسه CVE-2024- 9164 و شدت 9.6 (بحرانی) در GitLab کشف شده است. مهاجم با بهرهبرداری از این نقص امنیتی میتواند به صورت خطوط لوله (pipeline) پیوسته، یکپارچهسازی و تحویل مداوم (CI/CD) درشاخه های دلخواه را انجام دهد. براساس بردارحمله این آسیبپذیریCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است و چندان به شرایط خاصی نیاز نیست(AV:N/AC:L)، این حمله با نیاز به سطح دسترسی اولیه پایین و بدون تایید کاربرانجام میشود(PR:L/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:C)، این آسیبپذیری دو ضلع امنیت را با شدت بالا تحت تاثیر قرار میدهد اما بر روی دسرسی سیستم مذکور تاثیر چندانی ندارد (C:H/I:H/A:N).
محصولات تحت تأثیر و توصیه امنیتی
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-9164
[2] https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
[3] https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/
[4] https://arcticwolf.com/resources/blog/cve-2024-9164/
- 95