Falha crítica no GitLab
28 de Junho de 2024

Uma vulnerabilidade crítica está afetando certas versões dos produtos GitLab Community Edition e Enterprise Edition, que poderia ser explorada para executar pipelines como qualquer usuário.

O GitLab é uma plataforma popular baseada na web para gerenciamento de projetos de software de código aberto e rastreamento de trabalho.

Estima-se que tenha um milhão de usuários ativos de licença.

A questão de segurança abordada na última atualização é rastreada como CVE-2024-5655 e tem um score de gravidade de 9,6 em 10.

Sob certas circunstâncias, que o fornecedor não definiu, um atacante poderia aproveitá-la para acionar um pipeline como outro usuário.

Os pipelines do GitLab são um recurso do sistema de Integração Contínua/Entrega Contínua (CI/CD) que permite aos usuários executar automaticamente processos e tarefas, seja em paralelo ou em sequência, para construir, testar ou implantar mudanças de código.

A vulnerabilidade impacta todas as versões do GitLab CE/EE de 15.8 até 16.11.4, de 17.0.0 a 17.0.2, e de 17.1.0 a 17.1.0.

O GitLab abordou a vulnerabilidade ao lançar as versões 17.1.1, 17.0.3 e 16.11.5, e recomenda que os usuários apliquem as atualizações o mais rápido possível.

O fornecedor também informa que a atualização para as últimas versões vem com duas mudanças significativas que os usuários devem estar cientes:

Pipelines não serão mais executados automaticamente quando uma merge request for redirecionada após a fusão da branch-alvo anterior.

Os usuários devem iniciar manualmente o pipeline para executar o CI para suas mudanças.
CI_JOB_TOKEN agora está desativado por padrão para autenticação GraphQL a partir da versão 17.0.0, com essa alteração retroaplicada às versões 17.0.3 e 16.11.5.

Para acessar a API GraphQL, os usuários precisam configurar um dos tipos de token suportados para autenticação.

A última atualização do GitLab também introduz correções de segurança para outras 13 questões, sendo a gravidade de três delas classificada como "alta" (pontuação CVSS v3.1: 7.5 – 8.7).

Estas três são resumidas da seguinte forma:

- CVE-2024-4901 : Vulnerabilidade de XSS armazenado que permite que notas de commit maliciosas de projetos importados injetem scripts, podendo levar a ações não autorizadas e exposição de dados.

-CVE-2024-4994: Uma vulnerabilidade de CSRF na API GraphQL permitindo que atacantes executem mutações GraphQL arbitrárias enganando usuários autenticados a fazerem solicitações indesejadas, podendo levar à manipulação de dados e operações não autorizadas.

- CVE-2024-6323 : Falha de autorização na funcionalidade de pesquisa global do GitLab permitindo que atacantes visualizem os resultados de pesquisa de repositórios privados dentro de projetos públicos, podendo levar a vazamentos de informações e acesso não autorizado a dados sensíveis.


Recursos para atualizações do GitLab estão disponíveis aqui, enquanto diretrizes para o GitLab Runner podem ser encontradas nesta página.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...