خانه » به روزرسانی GitLab – انتشار نسخه‌های ۱۶.۱۱.۵، ۱۷.۰.۳ و ۱۷.۱.۱

به روزرسانی GitLab – انتشار نسخه‌های ۱۶.۱۱.۵، ۱۷.۰.۳ و ۱۷.۱.۱

توسط Vulnerbyte
73 بازدید
به روزرسانی GitLab

GitLab، بیست و ششم ژوئن ۲۰۲۴، پچ‌هایی را به منظور رفع 14 نقص امنیتی منتشر کرد. یکی از موارد اصلاح شده، یک آسیب پذیری بحرانی برای اجرای pipeline های یکپارچه سازی مداوم و استقرار پیوسته (CI/CD[1]) با دسترسی هر کاربر مورد نظری است.

این آسیب پذیری‌ها که بر نسخه‌های [2]CE و [3]EE تأثیر می‌گذارند، در نسخه‌های ۱۶.۱۱.۵، ۱۷.۰.۳ و ۱۷.۱.۱ برطرف شده‌اند.

CVE-2024-5655 (امتیاز CVSS: 9.6)، مهمترین آسیب‌ پذیری است که می‌تواند به یک مهاجم اجازه دهد تحت شرایط خاص، یک pipeline  را به عنوان کاربر مورد نظر راه‌اندازی کند. این آسیب پذیری، نسخه‌های CE و EE زیر را تحت تاثیر قرار می‌دهد:

  • نسخه ۱۷.۱ تا پیش از ۱۷.۱.۱
  • نسخه ۱۷.۰ تا پیش از ۱۷.۰.۳
  • نسخه ۱۵.۸ تا پیش از ۱۶.۱۱.۵

به روزرسانی GitLab، آسیب پذیری‌های زیر را نیز پوشش می‌دهد:

  • CVE-2024-4901 (امتیاز CVSS: 8.7) – یک آسیب پذیری XSS که می‌تواند از یک پروژه با یادداشت‌های commit مخرب وارد شود.
  • CVE-2024-4994 (امتیاز CVSS: 8.1) – یک حمله CSRF به API GraphQL GitLab که منجر به اجرای جهش‌های دلخواه GraphQL می‌شود.
  • CVE-2024-6323 (امتیاز CVSS: 7.5) – یک نقص مجوزدهی در ویژگی global search که امکان انتشار اطلاعات حساس از یک مخزن خصوصی در یک پروژه عمومی را فراهم می‌کند.
  • CVE-2024-2177 (امتیاز CVSS: 6.8) – این آسیب پذیری، مهاجم را قادر می‌سازد تا از جریان احراز هویت OAuth از طریق یک پیلود دستکاری شده سوء استفاده کند.

در حالی که شواهدی مبنی بر سوء استفاده فعال از این نقص‌ها وجود ندارد اما به کاربران توصیه می‌شود، هرچه سریع‌تر نسبت به دریافت نسخه‌های به روزرسانی GitLab اقدام کنند.

 

[1] continuous integration and continuous deployment

[2] Community Edition

[3] Enterprise Edition

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید