GitLab đã phát hành bản cập nhật bảo mật vào thứ Tư vừa qua để giải quyết 17 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng cho phép kẻ tấn công chạy các tác vụ pipeline (chuỗi các công việc được thực hiện tự động) với tư cách là người dùng tùy ý.
Lỗ hổng được định danh CVE-2024-6678, có điểm CVSS là 9,9 trên thang 10,0
"Một sự cố đã được phát hiện trong GitLab CE/EE ảnh hưởng đến tất cả các phiên bản từ 8.14 đến trước 17.1.7, từ 17.2 trước 17.2.5 và từ 17.3 trước 17.3.2, cho phép kẻ tấn công kích hoạt pipeline với tư cách là người dùng tùy ý trong một số trường hợp nhất định", công ty cho biết trong một cảnh báo.
Lỗ hổng bảo mật này, cùng với ba lỗ hổng có độ nghiêm trọng mức cao, 11 lỗi mức trung bình và 02 lỗi mức thấp, đã được giải quyết trong các phiên bản 17.3.2, 17.2.5, 17.1.7 cho GitLab Community Edition (CE) và Enterprise Edition (EE).
Các lỗ hổng tương tự CVE-2024-6678 đã được GitLab vá trong năm nay là CVE-2023-5009 (điểm CVSS: 9,6), CVE-2024-5655 (điểm CVSS: 9,6) và CVE-2024-6385 (điểm CVSS: 9,6).
Mặc dù không có bằng chứng nào cho thấy lỗ hổng đang bị khai thác, người dùng được khuyến cáo nên áp dụng bản vá càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
Đầu tháng 5 này, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã tiết lộ rằng lỗ hổng nghiêm trọng của GitLab (CVE-2023-7028, điểm CVSS: 10.0) đã bị khai thác trong thực tế.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Ivanti đã khắc phục một lỗ hổng đặc biệt nghiêm trọng trong phần mềm quản lý thiết bị (Endpoint Management / EPM) có thể cho phép kẻ tấn công chưa xác thực thực thi mã từ xa trên máy chủ.
Tín nhiệm mạng | Microsoft đã phát hành bản vá bảo mật Patch Tuesday tháng 9 năm 2024 để giải quyết 79 lỗ hổng, bao gồm 04 lỗ hổng zero-day đang bị khai thác trong thực tế, một trong số đó đã được tiết lộ công khai.
Tín nhiệm mạng | Progress Software đã phát hành bản vá khẩn cấp cho lỗ hổng bảo mật có mức độ nghiêm trọng tối đa (điểm CVSS 10/10) cho phép kẻ tấn công thực thi lệnh từ xa, ảnh hưởng đến các sản phẩm LoadMaster và LoadMaster Multi-Tenant (MT) Hypervisor.
Tín nhiệm mạng | SonicWall đã tiết lộ một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến SonicOS mới được khắc phục gần đây, có thể đã bị khai thác, do đó người dùng phải áp dụng các bản vá càng sớm càng tốt để giảm thiểu các rủi ro.
Tín nhiệm mạng | Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến Tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật cho hệ điều hành Android để giải quyết một lỗ hổng đã biết trước đó và đang bị tin tặc khai thác trong thực tế
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
