GitLab lançou atualizações de segurança para Community Edition (CE) e Enterprise Edition (EE) para resolver oito falhas de segurança, incluindo um bug crítico que poderia permitir a execução de pipelines de integração contínua e entrega contínua (CI/CD) em filiais inadequadas.
Rastreada como CVE-2024-9164, a vulnerabilidade carrega uma pontuação CVSS de 9,6 em 10.
“Foi descoberto um problema no GitLab EE que afeta todas as versões de 12.5 antes de 17.2.9, de 17.3, antes de 17.3.5 e de 17.4 antes de 17.4.2, o que permite a execução de pipes em ramificações incorretas”, informa GitLab.
Das sete questões restantes, quatro são classificadas como altas, duas são classificadas como moderadas e uma é classificada como de baixa dificuldade –
- CVE-2024-8970 (pontuação CVSS: 8,2), que permite que um invasor se faça passar por outro usuário sob certas condições
- CVE-2024-8977 (Pontuação CVSS: 8.2), que permite ataques SSRF em instâncias do GitLab EE com o Painel de Análise de Produto configurado e habilitado
- CVE-2024-9631 (pontuação CVSS: 7,5), o que causa lentidão ao visualizar uma variedade de solicitações de mesclagem e conflitos
- CVE-2024-6530 (pontuação CVSS: 7,3), o que leva à injeção de HTML na página OAuth ao autorizar um novo aplicativo devido a um problema de script entre sites
O comunicado é a última novidade no que parece ser um fluxo constante de vulnerabilidades relacionadas ao pipeline divulgadas pelo GitLab nos últimos meses.
No mês passado, a empresa enfrentou outra falha crítica (CVE-2024-6678, pontuação CVSS: 9,9) que poderia permitir que um invasor executasse operações de pipeline como um usuário não autorizado.
Antes disso, também incluía outras três vulnerabilidades semelhantes – CVE-2023-5009 (pontuação CVSS: 9,6), CVE-2024-5655 (pontuação CVSS: 9,6) e CVE-2024-6385 (pontuação CVSS: 9,6).
Embora não haja evidências de exploração ativa da vulnerabilidade, recomenda-se que os usuários atualizem suas configurações para a versão mais recente para se protegerem de ameaças potenciais.
