Уязвимост в GitLab, която ви позволява да изпълнявате кода при изграждане в CI на всеки проект

Публикувани са коригиращи актуализации на платформата за организиране на съвместна разработка - GitLab 15.11.2, 15.10.6 и 15.9.7, които елиминират критична уязвимост (CVE-2023-2478), която позволява на всеки удостоверен потребител да прикачи свой собствен манипулатор на runner чрез манипулации с GraphQL API (приложение за изпълнение на задачи при асемблиране на код на проект в система за непрекъсната интеграция) към всеки проект на същия сървър. Все още не са предоставени оперативни подробности. Информацията за уязвимостта беше изпратена на GitLab като част от програмата за награди за уязвимости на HackerOne.

Източник: opennet.ru