O GitLab lançou na quarta-feira atualizações de segurança para corrigir 17 vulnerabilidades de segurança, incluindo uma falha crítica que permite que um invasor execute trabalhos de pipeline como um usuário arbitrário.
O problema, rastreado como CVE-2024-6678, tem uma pontuação CVSS de 9,9 de um máximo de 10,0
“Foi descoberto um problema no GitLab CE/EE que afeta todas as versões, da 8.14 anterior à 17.1.7, da 17.2 anterior à 17.2.5 e da 17.3 anterior à 17.3.2, o que permite que um invasor acione um pipeline como um usuário arbitrário em determinadas circunstâncias”, disse a empresa em um alerta.
A vulnerabilidade, juntamente com três bugs de alta gravidade, 11 de média gravidade e dois de baixa gravidade, foram corrigidos nas versões 17.3.2, 17.2.5 e 17.1.7 para GitLab Neighborhood Version (CE) e Enterprise Version (EE).
Vale ressaltar que CVE-2024-6678 é a quarta falha desse tipo que o GitLab corrigiu no ano passado, depois de CVE-2023-5009 (pontuação CVSS: 9,6), CVE-2024-5655 (pontuação CVSS: 9,6) e CVE-2024-6385 (pontuação CVSS: 9,6).
Embora não haja evidências de exploração ativa das falhas, é recomendável que os usuários apliquem os patches o mais rápido possível para mitigar possíveis ameaças.
No início de maio, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou que uma vulnerabilidade crítica do GitLab (CVE-2023-7028, pontuação CVSS: 10,0) estava sendo explorada ativamente.
