GitLab telah mengidentifikasi kerentanan kritis (CVE-2024-5655) yang memengaruhi versi tertentu dari produk Community dan Enterprise Edition, yang memungkinkan penyerang menjalankan pipeline sebagai pengguna mana pun.
Kerentanan, dengan skor keparahan 9,6, berdampak pada GitLab CE / EE versi 15.8 hingga 16.11.4, 17.0.0 hingga 17.0.2, dan 17.1.0. GitLab telah merilis pembaruan 17.1.1, 17.0.3, dan 16.11.5 untuk mengatasi masalah ini dan sangat menyarankan untuk segera melakukan upgrade.
Pembaruan ini juga mencakup perubahan di mana pipeline tidak akan berjalan secara otomatis pada saat penargetan ulang permintaan penggabungan, dan CI_JOB_TOKEN sekarang dinonaktifkan secara default untuk autentikasi GraphQL.
Selain itu, pembaruan ini juga mengatasi tiga kerentanan tingkat tinggi: CVE-2024-4901 (XSS yang tersimpan), CVE-2024-4994 (CSRF dalam GraphQL API), dan CVE-2024-6323 (cacat otorisasi dalam pencarian global).
Pengguna dihimbau untuk segera menerapkan pembaruan ini untuk mengurangi potensi risiko keamanan.
Sumber:
https://www.bleepingcomputer.com/
news/security/critical-gitlab-bug
-lets-attackers-run-pipelines-as
-any-user/
Kerentanan, dengan skor keparahan 9,6, berdampak pada GitLab CE / EE versi 15.8 hingga 16.11.4, 17.0.0 hingga 17.0.2, dan 17.1.0. GitLab telah merilis pembaruan 17.1.1, 17.0.3, dan 16.11.5 untuk mengatasi masalah ini dan sangat menyarankan untuk segera melakukan upgrade.
Pembaruan ini juga mencakup perubahan di mana pipeline tidak akan berjalan secara otomatis pada saat penargetan ulang permintaan penggabungan, dan CI_JOB_TOKEN sekarang dinonaktifkan secara default untuk autentikasi GraphQL.
Selain itu, pembaruan ini juga mengatasi tiga kerentanan tingkat tinggi: CVE-2024-4901 (XSS yang tersimpan), CVE-2024-4994 (CSRF dalam GraphQL API), dan CVE-2024-6323 (cacat otorisasi dalam pencarian global).
Pengguna dihimbau untuk segera menerapkan pembaruan ini untuk mengurangi potensi risiko keamanan.
Sumber:
https://www.bleepingcomputer.com/
news/security/critical-gitlab-bug
-lets-attackers-run-pipelines-as
-any-user/