Mới đây, GitLab một lần nữa phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE).
Lỗ hổng có định danh CVE-2024-0402, điểm CVSS là 9,9 trên thang 10, có thể bị khai thác để ghi các tệp tùy ý trong khi tạo một workspace.
"Một vấn đề đã được phát hiện trong GitLab CE/EE, ảnh hưởng đến tất cả các phiên bản từ 16.0 trước 16.5.8, 16.6 trước 16.6.6, 16.7 trước 16.7.4 và 16.8 trước 16.8.1, cho phép người dùng đã được xác thực ghi các tệp tại các vị trí tùy ý trên máy chủ GitLab trong khi tạo một workspace", GitLab cho biết trong một tư vấn bảo mật được đưa ra vào ngày 25 tháng 1 năm 2024.
Công ty lưu ý rằng các bản vá lỗi đã được cung cấp trong các phiên bản 16.5.8, 16.6.6, 16.7.4 và 16.8.1.
GitLab cũng đã giải quyết bốn lỗ hổng có độ nghiêm trọng mức trung bình, có thể cho phép tấn công từ chối dịch vụ ReDoS, HTML injection hoặc dẫn đến tiết lộ địa chỉ email công khai của người dùng.
Bản cập nhật mới nhất được phát hành hai tuần sau khi GitLab đưa ra các bản vá cho hai lỗ hổng nghiêm trọng được phát hiện trước đó, bao gồm một lỗi có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng (CVE-2023-7028, điểm CVSS: 10.0).
Người dùng nên nâng cấp lên phiên bản vá lỗi càng sớm càng tốt để giảm thiểu các rủi ro tiềm ẩn.
Nguồn: thehackernews.com
Tín nhiệm mạng | Ba cựu nhân viên Bộ An ninh nội địa (DHS) đã bị kết án tù vì ăn cắp phần mềm và cơ sở dữ liệu độc quyền của chính phủ Mỹ có chứa dữ liệu cá nhân của 200.000 nhân viên liên bang.
Tín nhiệm mạng | Các nhà nghiên cứu phát hiện khoảng 45.000 máy chủ Jenkins được đặt trực tuyến dễ bị tấn công bởi CVE-2023-23897, một lỗ hổng thực thi mã từ xa nghiêm trọng đã có nhiều mã khai thác công khai.
Tín nhiệm mạng | Một lỗ hổng bảo mật hiện đã được vá trong Microsoft Outlook có thể bị kẻ tấn công khai thác để truy cập các mật khẩu đã được hash NT LAN Manager (NTLM) v2 khi mở một tệp độc hại.
Tín nhiệm mạng | Cisco đang cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager (CM) của họ dễ bị tấn công bởi một lỗ hổng thực thi mã từ xa nghiêm trọng.
Tín nhiệm mạng | Những người duy trì phần mềm tự động hóa quá trình tích hợp và triển khai liên tục mã nguồn mở Jenkins đã giải quyết 9 lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng có thể bị khai thác để RCE.
Tín nhiệm mạng | Vào ngày đầu tiên của cuộc thi Pwn2Own Automotive 2024, các nhà nghiên cứu bảo mật đã hack thành công một Tesla Modem và thu về tổng số tiền thưởng trị giá 722.500 USD cho 3 lần khai thác trùng lặp và 24 lần khai thác zero-day khác nhau.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
