GitLab novamente lançou correções para resolver uma falha de segurança crítica em sua Edição Comunitária (CE) e Edição Empresarial (EE) que poderia ser explorada para escrever arquivos arbitrários ao criar um espaço de trabalho.
Rastreado como
CVE-2024-0402
, a vulnerabilidade tem uma pontuação CVSS de 9,9 de um máximo de 10.
"Foi descoberto um problema em GitLab CE/EE afetando todas as versões de 16.0 até 16.5.8, 16.6 até 16.6.6, 16.7 até 16.7.4 e 16.8 até 16.8.1 que permite a um usuário autenticado escrever arquivos em locais arbitrários no servidor GitLab ao criar um espaço de trabalho", disse o GitLab em um comunicado divulgado em 25 de janeiro de 2024.
A empresa também observou que patches para o bug foram retrocompatíveis para 16.5.8, 16.6.6, 16.7.4 e 16.8.1.
Além disso, o GitLab resolveu quatro falhas de severidade média que poderiam levar a uma negação de serviço por expressão regular (ReDoS), injeção de HTML e divulgação do endereço de e-mail público de um usuário via feed RSS de tags.
A mais recente atualização chega duas semanas após a plataforma DevSecOps enviar correções para fechar duas deficiências críticas, incluindo uma que poderia ser explorada para assumir contas sem exigir qualquer interação do usuário (
CVE-2023-7028
, pontuação CVSS: 10.0).
Os usuários são aconselhados a atualizar as instalações para uma versão corrigida o mais rápido possível para mitigar riscos potenciais.
GitLab.com e ambientes dedicados do GitLab já estão executando a versão mais recente.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...