Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
GitLab выпустила исправления безопасности для устранения критической ошибки, которая позволяет злоумышленнику запускать конвейеры от имени другого пользователя.
Проблема, отслеживаемая как CVE-2023-5009 (оценка CVSS: 9.6), затрагивает все версии GitLab Enterprise Edition (EE), начиная с 13.12 и до 16.2.7, а также с 16.3 и до 16.3.4.
"Злоумышленник мог запускать конвейеры от имени произвольного пользователя с помощью политик проверки безопасности по расписанию", - говорится в сообщении GitLab. "Это был обход CVE-2023-3932, демонстрирующий дополнительные последствия".
Успешное использование CVE-2023-5009 может позволить субъекту угрозы получить доступ к конфиденциальной информации или использовать повышенные разрешения олицетворяемого пользователя для изменения исходного кода или запуска произвольного кода в системе, что приведет к серьезным последствиям.
Исследователю безопасности Йохану Карлссону (он же joaxcar) приписывают обнаружение уязвимости и сообщение о ней. CVE-2023-3932 был исправлен GitLab в начале августа 2023 года.
Уязвимость была устранена в версиях GitLab 16.3.4 и 16.2.7.
Раскрытие происходит в результате того, что критическая ошибка GitLab двухлетней давности (CVE-2021-22205, оценка CVSS: 10.0) продолжает активно использоваться злоумышленниками в реальных атаках.
Ранее на этой неделе Trend Micro сообщила, что злоумышленник, связанный с Китаем, известный как Earth Lusca, агрессивно атакует общедоступные серверы, используя уязвимости безопасности N-day, включая CVE-2021-22205, для проникновения в сети жертв.
Настоятельно рекомендуется, чтобы пользователи как можно скорее обновили свои установки GitLab до последней версии для защиты от потенциальных рисков.
Проблема, отслеживаемая как CVE-2023-5009 (оценка CVSS: 9.6), затрагивает все версии GitLab Enterprise Edition (EE), начиная с 13.12 и до 16.2.7, а также с 16.3 и до 16.3.4.
"Злоумышленник мог запускать конвейеры от имени произвольного пользователя с помощью политик проверки безопасности по расписанию", - говорится в сообщении GitLab. "Это был обход CVE-2023-3932, демонстрирующий дополнительные последствия".
Успешное использование CVE-2023-5009 может позволить субъекту угрозы получить доступ к конфиденциальной информации или использовать повышенные разрешения олицетворяемого пользователя для изменения исходного кода или запуска произвольного кода в системе, что приведет к серьезным последствиям.
Исследователю безопасности Йохану Карлссону (он же joaxcar) приписывают обнаружение уязвимости и сообщение о ней. CVE-2023-3932 был исправлен GitLab в начале августа 2023 года.
Уязвимость была устранена в версиях GitLab 16.3.4 и 16.2.7.
Раскрытие происходит в результате того, что критическая ошибка GitLab двухлетней давности (CVE-2021-22205, оценка CVSS: 10.0) продолжает активно использоваться злоумышленниками в реальных атаках.
Ранее на этой неделе Trend Micro сообщила, что злоумышленник, связанный с Китаем, известный как Earth Lusca, агрессивно атакует общедоступные серверы, используя уязвимости безопасности N-day, включая CVE-2021-22205, для проникновения в сети жертв.
Настоятельно рекомендуется, чтобы пользователи как можно скорее обновили свои установки GitLab до последней версии для защиты от потенциальных рисков.
