Lỗ hổng GitLab cho phép hacker ghi tệp vào các vị trí tùy ý

GitLab vừa phát hành bản cập nhật an ninh để khắc phục một số lỗ hổng nghiêm trọng, kêu gọi tất cả người dùng nâng cấp ngay lập tức.

Các lỗ hổng được vá bao gồm:

  • Ghi tệp ở vị trí bất kỳ trên máy chủ: lỗ hổng CVE-2024-0402 khiến hệ thống có nguy cơ bị xâm nhập dữ liệu và tấn công mã độc.
  • Kích hoạt tấn công DoS: hacker có thể khai thác lỗ hổng (CVE-2023-6159) để làm gián đoạn các phiên bản GitLab.
  • Giành quyền truy cập trái phép: vấn đề dọn dẹp input người dùng không đúng cách (CVE-2023-5933) có thể cho phép hacker kiểm soát dữ liệu GitLab.
  • Truy cập địa chỉ email riêng tư: lỗ hổng trong Tags RSS Feed (CVE-2023-5612) có thể làm lộ thông tin nhạy cảm của người dùng.
  • Thao túng các yêu cầu hợp nhất: Người dùng trái phép có thể giành quyền kiểm soát các yêu cầu hợp nhất trong các dự án (CVE-2024-0456).

Phiên bản GitLab Community Edition (CE) và Enterprise Edition (EE) 16.0 đến 16.8 bị ảnh hưởng bởi ít nhất một lỗ hổng.

Người dùng được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.

Nguồn: GBhackers