🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Liên đoàn Lao động tỉnh Bà Rịa - Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an thành phố Thái Nguyên đã đăng ký tín nhiệm. 🔥                   

GitLab vá lỗ hổng nghiêm trọng cho phép thực thi tác vụ Pipeline trái phép

13/09/2024

GitLab đã phát hành bản cập nhật bảo mật vào thứ Tư vừa qua để giải quyết 17 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng cho phép kẻ tấn công chạy các tác vụ pipeline (chuỗi các công việc được thực hiện tự động) với tư cách là người dùng tùy ý.

Lỗ hổng được định danh CVE-2024-6678, có điểm CVSS là 9,9 trên thang 10,0

"Một sự cố đã được phát hiện trong GitLab CE/EE ảnh hưởng đến tất cả các phiên bản từ 8.14 đến trước 17.1.7, từ 17.2 trước 17.2.5 và từ 17.3 trước 17.3.2, cho phép kẻ tấn công kích hoạt pipeline với tư cách là người dùng tùy ý trong một số trường hợp nhất định", công ty cho biết trong một cảnh báo.

Lỗ hổng bảo mật này, cùng với ba lỗ hổng có độ nghiêm trọng mức cao, 11 lỗi mức trung bình và 02 lỗi mức thấp, đã được giải quyết trong các phiên bản 17.3.2, 17.2.5, 17.1.7 cho GitLab Community Edition (CE) và Enterprise Edition (EE).

Các lỗ hổng tương tự CVE-2024-6678 đã được GitLab vá trong năm nay là CVE-2023-5009 (điểm CVSS: 9,6), CVE-2024-5655 (điểm CVSS: 9,6) và CVE-2024-6385 (điểm CVSS: 9,6).

Mặc dù không có bằng chứng nào cho thấy lỗ hổng đang bị khai thác, người dùng được khuyến cáo nên áp dụng bản vá càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.

Đầu tháng 5 này, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã tiết lộ rằng lỗ hổng nghiêm trọng của GitLab (CVE-2023-7028, điểm CVSS: 10.0) đã bị khai thác trong thực tế.

Nguồn: thehackernews.com.

scrolltop