🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

GitLab vá lỗ hổng nghiêm trọng cho phép thực hiện các tác vụ pipeline trái phép

12/07/2024

GitLab đã phát hành các bản cập nhật mới để khắc phục các lỗ hổng bảo mật trong nền tảng phát triển phần mềm của mình, bao gồm một lỗ hổng nghiêm trọng cho phép kẻ tấn công thực hiện các tác vụ pipeline với tư cách là người dùng bất kỳ.

Lỗ hổng được định danh là CVE-2024-6385, có điểm CVSS là 9,6 trên thang 10,0.

Công ty cho biết rằng: “Một vấn đề đã được phát hiện trong GitLab CE/EE ảnh hưởng đến các phiên bản từ 15.8 đến trước 16.11.6, 17.0 đến trước 17.0.4 và 17.1 đến trước 17.1.2, cho phép kẻ tấn công kích hoạt pipeline với tư cách người dùng khác trong một số trường hợp nhất định”.

Đáng chú ý là GitLab đã vá một lỗi tương tự vào cuối tháng trước (CVE-2024-5655, điểm CVSS: 9,6), lỗi này cũng có thể bị lạm dụng để chạy pipeline với tư cách người dùng khác.

GitLab cũng giải quyết một vấn đề có độ nghiêm trọng mức trung bình (CVE-2024-5257, điểm CVSS: 4,9) cho phép người dùng có quyền admin_compliance_framework sửa đổi URL cho một ‘group namespace’.

Các lỗ hổng hiện đã được khắc phục trong các phiên bản GitLab Community Edition (CE) và Enterprise Edition (EE) 17.1.2, 17.0.4 và 16.11.6. Người dùng nên nhanh chóng kiểm tra và cập nhật bản bản vá để giảm thiểu rủi ro tiềm ẩn liên quan đến các lỗ hổng.

Tiết lộ này được đưa ra cùng khi Citrix phát hành bản cập nhật cho một lỗ hổng nghiêm trọng liên quan đến vấn đề xác thực không chính xác, ảnh hưởng đến NetScaler Console (trước đây là NetScaler ADM), NetScaler SDX và NetScaler Agent (CVE-2024-6235, điểm CVSS: 9.4) có thể dẫn đến việc lộ lọt thông tin.

Broadcom cũng đã phát hành các bản vá cho hai lỗ hổng có độ nghiêm trọng mức trung bình trong VMware Cloud Director (CVE-2024-22277, điểm CVSS: 6.4) và VMware Aria Automation (CVE-2024-22280, điểm CVSS: 8.5) có thể bị lạm dụng để thực thi mã bằng cách sử dụng các thẻ HTML và truy vấn SQL độc hại.

Nguồn: thehackernews.com.

scrolltop