کشف آسیب‌پذیری در GitLab

کشف آسیب‌پذیری در GitLab

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024- 9164 و شدت 9.6 (بحرانی) در GitLab  کشف شده است. مهاجم با بهره‌برداری از این نقص امنیتی می‌تواند به صورت خطوط لوله (pipeline) پیوسته، یکپارچه‌سازی و تحویل مداوم (CI/CD) درشاخه های دلخواه را انجام دهد. براساس بردارحمله این آسیب‌پذیریCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N:  بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است و چندان به شرایط خاصی نیاز نیست(AV:N/AC:L)، این حمله با نیاز به سطح دسترسی اولیه پایین و بدون تایید کاربرانجام می‌شود(PR:L/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:C)، این آسیب‌پذیری دو ضلع امنیت را با شدت بالا تحت تاثیر قرار می‌دهد اما بر روی دسرسی سیستم مذکور تاثیر چندانی ندارد (C:H/I:H/A:N).
 

 

محصولات تحت تأثیر و توصیه امنیتی 

یی


 

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-9164
[2] https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
[3] https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/
[4] https://arcticwolf.com/resources/blog/cve-2024-9164/