URGENTE: Atualize o GitLab - Falha Crítica na Criação de Espaço de Trabalho Permite Sobrescrever Arquivo
31 de Janeiro de 2024

GitLab novamente lançou correções para resolver uma falha de segurança crítica em sua Edição Comunitária (CE) e Edição Empresarial (EE) que poderia ser explorada para escrever arquivos arbitrários ao criar um espaço de trabalho.

Rastreado como CVE-2024-0402 , a vulnerabilidade tem uma pontuação CVSS de 9,9 de um máximo de 10.

"Foi descoberto um problema em GitLab CE/EE afetando todas as versões de 16.0 até 16.5.8, 16.6 até 16.6.6, 16.7 até 16.7.4 e 16.8 até 16.8.1 que permite a um usuário autenticado escrever arquivos em locais arbitrários no servidor GitLab ao criar um espaço de trabalho", disse o GitLab em um comunicado divulgado em 25 de janeiro de 2024.

A empresa também observou que patches para o bug foram retrocompatíveis para 16.5.8, 16.6.6, 16.7.4 e 16.8.1.

Além disso, o GitLab resolveu quatro falhas de severidade média que poderiam levar a uma negação de serviço por expressão regular (ReDoS), injeção de HTML e divulgação do endereço de e-mail público de um usuário via feed RSS de tags.

A mais recente atualização chega duas semanas após a plataforma DevSecOps enviar correções para fechar duas deficiências críticas, incluindo uma que poderia ser explorada para assumir contas sem exigir qualquer interação do usuário ( CVE-2023-7028 , pontuação CVSS: 10.0).

Os usuários são aconselhados a atualizar as instalações para uma versão corrigida o mais rápido possível para mitigar riscos potenciais.

GitLab.com e ambientes dedicados do GitLab já estão executando a versão mais recente.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...