GitLab için bir güvenlik açığı eleştirmen Olası hasar sabahtan beri ortalıkta dolaşıyor. Yazılım proje yönetimi platformunun Topluluk Sürümü (CE) ve Kurumsal Sürümü (EE), parola sıfırlama yoluyla keyfi hesap devralmaya izin veren bir sorundan muzdariptir.
Duyuru
CVE ID CVE-2023-7028'e sahip güvenlik açığının maksimum CVSS puanı 10,0'dır ve önceden kayıt gerekmeden uzaktan kullanılabilir. Haberler Security'nin etkilenenlerden öğrendiğine göre siber suçlular 12 Ocak gibi erken bir tarihte GitLab örneklerine başarılı saldırılar başlatmıştı.
Tüm sürümler etkilendi
Yavaş entegrasyon ve iş akışlarında da boşluklar var
Slack ve Mattermost'un GitLab üzerindeki entegrasyonunda da ciddi bir boşluk var (CVE-2023-5356, CVSS 9.6/10, eleştirmen Tehlike düzeyi), bu sayede kayıtlı bir kullanıcı sohbet komutlarını kullanarak komutları daha büyük ayrıcalıklara sahip başka bir kullanıcının haklarıyla yürütebilir. Sohbet entegrasyon hatası GitLab'ın 8.13'e kadar olan sürümlerini etkiliyor ancak önceki güncellemelerde de düzeltildi.
İki ek güvenlik hatası (CVE-2023-4812 ve CVE-2023-6955). yüksek VEYA. orta Önem düzeyleri sürümlerin kendisini etkiler ve çalışma alanlarında yetkisiz değişikliklere ve birleştirme isteklerinin yetkisiz olarak onaylanmasına olanak tanır.
Geçen Aralık ve geçen Mayıs gibi GitLab'da her zaman ciddi güvenlik açıkları vardır; hatta maksimum CVSS değeri 10'dur.
(cku)
Haberin Sonu
Duyuru
CVE ID CVE-2023-7028'e sahip güvenlik açığının maksimum CVSS puanı 10,0'dır ve önceden kayıt gerekmeden uzaktan kullanılabilir. Haberler Security'nin etkilenenlerden öğrendiğine göre siber suçlular 12 Ocak gibi erken bir tarihte GitLab örneklerine başarılı saldırılar başlatmıştı.
Tüm sürümler etkilendi
- 16.1.6'dan önceki sürüm ağacı 16.1'in,
- 16.2.9'dan önceki sürüm ağacı 16.2'nin,
- 16.3.7'den önceki 16.3 sürüm ağacının,
- 16.4.5'ten önceki 16.4 sürüm ağacının,
- 16.5.6'dan önceki 16.5 sürüm ağacının,
- 16.6.4 e'den önceki 16.6 sürüm ağacının
- 16.7.2'den önceki 16.7 sürüm ağacının.
Yavaş entegrasyon ve iş akışlarında da boşluklar var
Slack ve Mattermost'un GitLab üzerindeki entegrasyonunda da ciddi bir boşluk var (CVE-2023-5356, CVSS 9.6/10, eleştirmen Tehlike düzeyi), bu sayede kayıtlı bir kullanıcı sohbet komutlarını kullanarak komutları daha büyük ayrıcalıklara sahip başka bir kullanıcının haklarıyla yürütebilir. Sohbet entegrasyon hatası GitLab'ın 8.13'e kadar olan sürümlerini etkiliyor ancak önceki güncellemelerde de düzeltildi.
İki ek güvenlik hatası (CVE-2023-4812 ve CVE-2023-6955). yüksek VEYA. orta Önem düzeyleri sürümlerin kendisini etkiler ve çalışma alanlarında yetkisiz değişikliklere ve birleştirme isteklerinin yetkisiz olarak onaylanmasına olanak tanır.
Geçen Aralık ve geçen Mayıs gibi GitLab'da her zaman ciddi güvenlik açıkları vardır; hatta maksimum CVSS değeri 10'dur.
(cku)
Haberin Sonu