GitLab novamente lançou correções para resolver uma falha de segurança crítica em sua Edição Comunitária (CE) e Edição Empresarial (EE) que poderia ser explorada para escrever arquivos arbitrários ao criar um espaço de trabalho.
Rastreado como
CVE-2024-0402
, a vulnerabilidade tem uma pontuação CVSS de 9,9 de um máximo de 10.
"Foi descoberto um problema em GitLab CE/EE afetando todas as versões de 16.0 até 16.5.8, 16.6 até 16.6.6, 16.7 até 16.7.4 e 16.8 até 16.8.1 que permite a um usuário autenticado escrever arquivos em locais arbitrários no servidor GitLab ao criar um espaço de trabalho", disse o GitLab em um comunicado divulgado em 25 de janeiro de 2024.
A empresa também observou que patches para o bug foram retrocompatíveis para 16.5.8, 16.6.6, 16.7.4 e 16.8.1.
Além disso, o GitLab resolveu quatro falhas de severidade média que poderiam levar a uma negação de serviço por expressão regular (ReDoS), injeção de HTML e divulgação do endereço de e-mail público de um usuário via feed RSS de tags.
A mais recente atualização chega duas semanas após a plataforma DevSecOps enviar correções para fechar duas deficiências críticas, incluindo uma que poderia ser explorada para assumir contas sem exigir qualquer interação do usuário (
CVE-2023-7028
, pontuação CVSS: 10.0).
Os usuários são aconselhados a atualizar as instalações para uma versão corrigida o mais rápido possível para mitigar riscos potenciais.
GitLab.com e ambientes dedicados do GitLab já estão executando a versão mais recente.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...