Một lỗ hổng nghiêm trọng được phát hiện trong GitLab có khả năng ảnh hưởng nghiêm trọng đến tính toàn vẹn và tính bảo mật của các dự án GitLab.
Lỗ hổng được theo dõi với mã định danh CVE-2023-2478 (CVSS là 9,6) và được đặt tên là “Malicious Runner Attachment via GraphQL”, ảnh hưởng đến tất cả các phiên bản GitLab Community Edition (CE) và Enterprise Edition (EE) từ 15.4 đến 15.9.7, từ 15.10 đến 15.10.6 và từ 15.11 đến 15.11.2.
Trong một số điều kiện nhất định, bất kỳ tài khoản người dùng GitLab nào trên phiên bản bị ảnh hưởng đều có thể khai thác endpoint GraphQL để đính kèm trình chạy độc hại vào bất kỳ dự án nào trong phiên bản. Lỗ hổng này khiến các dự án dễ bị truy cập và thao tác trái phép, gây ra ảnh hưởng nghiêm trọng đến tính toàn vẹn và tính bảo mật của dữ liệu dự án.
GitLab đã phát hành các phiên bản 15.11.2, 15.10.6 và 15.9.7 cho cả GitLab CE và EE để giải quyết lỗ hổng. Các bản vá đảm bảo tệp đính kèm trình chạy độc hại thông qua GraphQL không còn tồn tại, bảo vệ các dự án khỏi bị truy cập trái phép.
Người dùng được khuyến nghị cập nhật GitLab ngay lập tức để bảo vệ dữ liệu và dự án của họ.
Nguồn: Securityonline, Gitlab.com