Uma vulnerabilidade crítica está afetando certas versões dos produtos GitLab Community Edition e Enterprise Edition, que poderia ser explorada para executar pipelines como qualquer usuário.
O GitLab é uma plataforma popular baseada na web para gerenciamento de projetos de software de código aberto e rastreamento de trabalho.
Estima-se que tenha um milhão de usuários ativos de licença.
A questão de segurança abordada na última atualização é rastreada como
CVE-2024-5655
e tem um score de gravidade de 9,6 em 10.
Sob certas circunstâncias, que o fornecedor não definiu, um atacante poderia aproveitá-la para acionar um pipeline como outro usuário.
Os pipelines do GitLab são um recurso do sistema de Integração Contínua/Entrega Contínua (CI/CD) que permite aos usuários executar automaticamente processos e tarefas, seja em paralelo ou em sequência, para construir, testar ou implantar mudanças de código.
A vulnerabilidade impacta todas as versões do GitLab CE/EE de 15.8 até 16.11.4, de 17.0.0 a 17.0.2, e de 17.1.0 a 17.1.0.
O GitLab abordou a vulnerabilidade ao lançar as versões 17.1.1, 17.0.3 e 16.11.5, e recomenda que os usuários apliquem as atualizações o mais rápido possível.
O fornecedor também informa que a atualização para as últimas versões vem com duas mudanças significativas que os usuários devem estar cientes:
Pipelines não serão mais executados automaticamente quando uma merge request for redirecionada após a fusão da branch-alvo anterior.
Os usuários devem iniciar manualmente o pipeline para executar o CI para suas mudanças.
CI_JOB_TOKEN agora está desativado por padrão para autenticação GraphQL a partir da versão 17.0.0, com essa alteração retroaplicada às versões 17.0.3 e 16.11.5.
Para acessar a API GraphQL, os usuários precisam configurar um dos tipos de token suportados para autenticação.
A última atualização do GitLab também introduz correções de segurança para outras 13 questões, sendo a gravidade de três delas classificada como "alta" (pontuação CVSS v3.1: 7.5 – 8.7).
Estas três são resumidas da seguinte forma:
-
CVE-2024-4901
: Vulnerabilidade de XSS armazenado que permite que notas de commit maliciosas de projetos importados injetem scripts, podendo levar a ações não autorizadas e exposição de dados.
-CVE-2024-4994: Uma vulnerabilidade de CSRF na API GraphQL permitindo que atacantes executem mutações GraphQL arbitrárias enganando usuários autenticados a fazerem solicitações indesejadas, podendo levar à manipulação de dados e operações não autorizadas.
-
CVE-2024-6323
: Falha de autorização na funcionalidade de pesquisa global do GitLab permitindo que atacantes visualizem os resultados de pesquisa de repositórios privados dentro de projetos públicos, podendo levar a vazamentos de informações e acesso não autorizado a dados sensíveis.
Recursos para atualizações do GitLab estão disponíveis aqui, enquanto diretrizes para o GitLab Runner podem ser encontradas nesta página.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...