การอัปเดตแก้ไขสำหรับแพลตฟอร์มการพัฒนาความร่วมมือ GitLab ได้รับการเผยแพร่แล้ว - 17.3.2, 17.2.5 และ 17.1.7 ซึ่งแก้ไขช่องโหว่ 17 รายการ ช่องโหว่หนึ่งรายการถูกกำหนดให้อยู่ในระดับความรุนแรงวิกฤต (9.9 จาก 10), 3 - สูง, 11 - ปานกลาง และ 2 - ต่ำ ช่องโหว่ร้ายแรง (CVE-2024-6678) ทำให้งานสามารถรันในไปป์ไลน์การผสานรวมอย่างต่อเนื่อง (งานไปป์ไลน์) ภายใต้ผู้ใช้รายอื่น ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงที่เก็บข้อมูลภายในและโปรเจ็กต์ส่วนตัวของผู้ใช้รายนี้
ช่องโหว่ดังกล่าวถูกส่งไปยัง GitLab โดยเป็นส่วนหนึ่งของโปรแกรมรางวัลช่องโหว่ของ HackerOne ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ดังกล่าวได้รับการวางแผนให้เปิดเผยภายใน 30 วันหลังจากการเผยแพร่แพตช์
ที่มา: opennet.ru
