GitLab phát hành bản vá cho lỗ hổng CI/CD Pipeline nghiêm trọng và 13 lỗ hổng khác

0
0

- GitLab đã phát hành các bản cập nhật bảo mật để giải quyết 14 lỗi bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể bị khai thác để chạy các quy trình tích hợp liên tục và triển khai liên tục (CI/CD) với tư cách người dùng bất kỳ.

Ảnh minh họa
Ảnh minh họa

Các lỗ hổng ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE) đã được giải quyết trong các phiên bản 17.1.1, 17.0.3 và 16.11.5.

Nghiêm trọng nhất là CVE-2024-5655 (điểm CVSS: 9,6), lỗ hổng có thể cho phép tác nhân độc hại kích hoạt pipeline với tư cách là người dùng khác trong một số trường hợp.

Lỗ hổng tác động đến các phiên bản sau của CE và EE:

- Từ 17.1 đến trước 17.1.1

- Từ 17.0 đến trước 17.0.3 và

- Từ 15.8 đến trước 16.11.5

GitLab cho biết bản sửa lỗi này thực hiện hai thay đổi đột phá: xác thực GraphQL sử dụng CI_JOB_TOKEN được bật theo mặc định và không tự động chạy các pipeline khi yêu cầu hợp nhất bị tái định hướng (re-targeted) sau khi nhánh mục tiêu trước đó được hợp nhất.

Một số lỗi nghiêm trọng khác cũng được khắc phục trong bản phát hành mới nhất này, bao gồm:

- CVE-2024-4901 (Điểm CVSS: 8,7) - Lỗ hổng stored XSS có thể bị khai thác thông qua một dự án có ghi chú cam kết (commit) độc hại

- CVE-2024-4994 (Điểm CVSS: 8.1) - Lỗ hổng CSRF trong API GraphQL của GitLab dẫn đến việc thực thi các thao tác GraphQL tùy ý

- CVE-2024-6323 (điểm CVSS: 7.5) - Một lỗ hổng kiểm tra phân quyền trong tính năng tìm kiếm toàn cầu cho phép rò rỉ thông tin nhạy cảm từ kho lưu trữ riêng trong một dự án công khai

- CVE-2024-2177 (điểm CVSS: 6,8) - Lỗ hổng Cross Window Forgery cho phép kẻ tấn công lạm dụng luồng xác thực OAuth thông qua payload độc hại.

Mặc dù chưa có bằng chứng nào cho thấy các lỗ hổng đang bị khai thác trong thực tế, người dùng vẫn nên nhanh chóng áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.

PV (theo thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.