O GitLab enviou patches de segurança para resolver uma falha crítica que permite que um ofensor execute pipelines como outro usuário.
A vulnerabilidade identificada como CVE-2023-5009 (score CVSS: 9,6), afeta todas as versões do GitLab Enterprise Edition (EE) a partir de 13.12 e anteriores a 16.2.7, bem como de 16.3 e anteriores a 16.3.4.
“Era possível para um ofensor executar pipelines como um usuário comum por meio de políticas de verificação de segurança agendadas”, disse o GitLab em um comunicado. “Este foi um bypass do CVE-2023-3932 mostrando impacto adicional.”
A exploração bem-sucedida do CVE-2023-5009 pode permitir que um ofensor acesse informações confidenciais ou aproveite as permissões elevadas do usuário para modificar o código-fonte ou executar código arbitrário no sistema, levando a graves consequências.
O pesquisador de segurança Johan Carlsson (também conhecido como joaxcar) foi o responsável pela descoberta e relato da falha. CVE-2023-3932 foi abordado pelo GitLab no início de agosto de 2023.
A vulnerabilidade foi resolvida nas versões 16.3.4 e 16.2.7 do GitLab.
A divulgação ocorre no momento em que um bug crítico do GitLab de dois anos (CVE-2021-22205, socore CVSS: 10,0) continua sendo explorado ativamente por ofensores em ataques ao redor do mundo.
No início desta semana, a Trend Micro revelou que um ofensor ligado à China conhecido como Earth Lusca está atacando agressivamente servidores públicos, transformando em armadilhas com N-day falwas, incluindo CVE-2021-22205, para se infiltrar nas redes das vítimas.
É altamente recomendável que os usuários atualizem suas instalações do GitLab para a versão mais recente o mais rápido possível para se protegerem contra potenciais riscos.
Comments