GitLab lançou atualizações de segurança para Group Version (CE) e Enterprise Version (EE) para resolver oito falhas de segurança, incluindo um bug crítico que poderia permitir a execução de pipelines de integração contínua e entrega contínua (CI/CD) em filiais arbitrárias.
Rastreada como CVE-2024-9164, a vulnerabilidade carrega uma pontuação CVSS de 9,6 em 10.
“Um problema foi descoberto no GitLab EE afetando todas as versões a partir de 12.5 antes de 17.2.9, a partir de 17.3, antes de 17.3.5 e a partir de 17.4 antes de 17.4.2, o que permite a execução de pipelines em ramificações arbitrárias”, GitLab disse em um comunicado.
Dos sete problemas restantes, quatro são classificados como altos, dois são classificados como médios e um é classificado como de gravidade baixa –
- CVE-2024-8970 (pontuação CVSS: 8,2), que permite que um invasor acione um pipeline como outro usuário sob determinadas circunstâncias
- CVE-2024-8977 (pontuação CVSS: 8,2), que permite ataques SSRF em instâncias do GitLab EE com o Product Analytics Dashboard configurado e habilitado
- CVE-2024-9631 (pontuação CVSS: 7,5), o que causa lentidão na visualização de diferenças de solicitações de mesclagem com conflitos
- CVE-2024-6530 (pontuação CVSS: 7,3), o que resulta em injeção de HTML na página OAuth ao autorizar um novo aplicativo devido a um problema de script entre websites
O comunicado é a última novidade do que parece ser um fluxo constante de vulnerabilidades relacionadas ao pipeline que foram divulgadas pelo GitLab nos últimos meses.
No mês passado, a empresa corrigiu outra falha crítica (CVE-2024-6678, pontuação CVSS: 9,9) que poderia permitir que um invasor executasse trabalhos de pipeline como um usuário arbitrário.
Antes disso, também corrigiu três outras deficiências semelhantes – CVE-2023-5009 (pontuação CVSS: 9,6), CVE-2024-5655 (pontuação CVSS: 9,6) e CVE-2024-6385 (pontuação CVSS: 9,6).
Embora não haja evidências de exploração ativa da vulnerabilidade, recomenda-se que os usuários atualizem suas instâncias para a versão mais recente para se protegerem contra ameaças potenciais.