GITLAB، بیست و ششم نوامبر ۲۰۲۴، به روزرسانیهای مهم امنیتی را برای رفع یک آسیب پذیری با شدت بالا بر محصولات Community Edition (CE) و Enterprise Edition (EE) منتشر کرده است.
این آسیب پذیری که با شناسه CVE-2024-8114 دنبال میشود، بر نسخههای ۸.۱۲ تا پیش از ۱۷.۴.۵، از ۱۷.۵ تا پیش از ۱۷.۵.۳ و از ۱۷.۶ تا پیش از ۱۷.۶.۱ محصولات CE و EE تاثیر میگذارد. CVE-2024-8114 در نسخههای ۱۷.۶.۱، ۱۷.۵.۳، ۱۷.۴.۵ پچ شده است.
CVE-2024-8114 به مهاجم اجازه میدهد تا به توکن دسترسی شخصی (PAT[1]) کاربر دسترسی پیدا کند. مهاجم با این کار میتواند سطح دسترسی خود را افزایش دهد و در نهایت به مجوزهای بیشتری دست یابد.
این به روزرسانی اخیر GITLAB، علاوه بر باگ دسترسی به PAT، پنج آسیب پذیری دیگر را نیز برطرف کرده است که عبارتند از:
عنوان | شدت |
متوسط | |
متوسط | |
متوسط | |
متوسط | |
میتواند به اتصالات طولانی مدت اجازه دهد که توکنها باطل نشوند و کنترل احراز هویت را دور بزنند | متوسط |
GitLab به محققان امنیتی PWNIE ، L33THAXOR ، A92847865 و LURYUS برای گزارش برخی از این آسیب پذیریها، باگ بانتی پرداخت کرده است.
GitLab از تمامی کاربران خود خواسته است تا هر چه سریعتر محصولات CE و EE را به نسخههای ۱۷.۶.۱، ۱۷.۵.۳، ۱۷.۴.۵ به روزرسانی کنند.
[1] Personal Access Token
