Er zijn corrigerende updates gepubliceerd voor het collaboratieve ontwikkelplatform GitLab 15.11.2, 15.10.6 en 15.9.7. Deze updates verhelpen een kritieke kwetsbaarheid (CVE-2023-2478) waardoor elke geauthenticeerde gebruiker zijn eigen runner (een applicatie voor het uitvoeren van taken tijdens het bouwen van projectcode in een systeem voor continue integratie) kan koppelen aan elk project op dezelfde server via manipulaties met de GraphQL API. Details over de exploitatie zijn nog niet beschikbaar. Informatie over de kwetsbaarheid is doorgestuurd naar GitLab als onderdeel van het HackerOne bug bounty-programma.
Bron: opennet.ru
