Tech

Nova vulnerabilidade crítica do GitLab pode permitir a execução arbitrária de pipeline de CI/CD

Photo of LifeTechWeb LifeTechWebOctober 11, 2024
0 1 minuto de leitura
Nova vulnerabilidade crítica do GitLab pode permitir a execução arbitrária de pipeline de CI/CD
Vulnerabilidade crítica do GitLab

GitLab lançou atualizações de segurança para Group Version (CE) e Enterprise Version (EE) para resolver oito falhas de segurança, incluindo um bug crítico que poderia permitir a execução de pipelines de integração contínua e entrega contínua (CI/CD) em filiais arbitrárias.

Rastreada como CVE-2024-9164, a vulnerabilidade carrega uma pontuação CVSS de 9,6 em 10.

Cibersegurança

“Um problema foi descoberto no GitLab EE afetando todas as versões a partir de 12.5 antes de 17.2.9, a partir de 17.3, antes de 17.3.5 e a partir de 17.4 antes de 17.4.2, o que permite a execução de pipelines em ramificações arbitrárias”, GitLab disse em um comunicado.

Dos sete problemas restantes, quatro são classificados como altos, dois são classificados como médios e um é classificado como de gravidade baixa –

  • CVE-2024-8970 (pontuação CVSS: 8,2), que permite que um invasor acione um pipeline como outro usuário sob determinadas circunstâncias
  • CVE-2024-8977 (pontuação CVSS: 8,2), que permite ataques SSRF em instâncias do GitLab EE com o Product Analytics Dashboard configurado e habilitado
  • CVE-2024-9631 (pontuação CVSS: 7,5), o que causa lentidão na visualização de diferenças de solicitações de mesclagem com conflitos
  • CVE-2024-6530 (pontuação CVSS: 7,3), o que resulta em injeção de HTML na página OAuth ao autorizar um novo aplicativo devido a um problema de script entre websites

O comunicado é a última novidade do que parece ser um fluxo constante de vulnerabilidades relacionadas ao pipeline que foram divulgadas pelo GitLab nos últimos meses.

No mês passado, a empresa corrigiu outra falha crítica (CVE-2024-6678, pontuação CVSS: 9,9) que poderia permitir que um invasor executasse trabalhos de pipeline como um usuário arbitrário.

Cibersegurança

Antes disso, também corrigiu três outras deficiências semelhantes – CVE-2023-5009 (pontuação CVSS: 9,6), CVE-2024-5655 (pontuação CVSS: 9,6) e CVE-2024-6385 (pontuação CVSS: 9,6).

Embora não haja evidências de exploração ativa da vulnerabilidade, recomenda-se que os usuários atualizem suas instâncias para a versão mais recente para se protegerem contra ameaças potenciais.

Tags
Photo of LifeTechWeb LifeTechWebOctober 11, 2024
0 1 minuto de leitura
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Evento do iPhone 16 anunciado para 9 de setembro

Evento do iPhone 16 anunciado para 9 de setembro

August 28, 2024
OpenAI revela SearchGPT: um novo mecanismo de busca com tecnologia de IA

OpenAI revela SearchGPT: um novo mecanismo de busca com tecnologia de IA

July 27, 2024
Violação do aplicativo Authy da Twilio expõe milhões de números de telefone

Violação do aplicativo Authy da Twilio expõe milhões de números de telefone

July 4, 2024
Josh Claman, CEO da Accelsius – Série de entrevistas

Josh Claman, CEO da Accelsius – Série de entrevistas

July 30, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button