GitLab kullanıcılarının, tehdit aktörlerinin diğer kullanıcılar gibi işlem hatlarını çalıştırmasına ve özel depoları tehlikeye atmasına olanak verebilecek yeni bir kritik kusura karşı korunmak için sunucularını acilen güncellemeleri gerekiyor.
CVE-2023-5009 numaralı kusur, planlanmış güvenlik taraması politikalarında yer alıyor. GitLab’a göreve CVE-2023-3932 altında takip edilen Temmuz ayındaki başka bir hatanın atlanmasıdır.
GitLab, “Sorunlardan etkilenen bir sürümü çalıştıran tüm kurulumların mümkün olan en kısa sürede en son sürüme yükseltilmesini şiddetle tavsiye ediyoruz” dedi.
Cycode güvenlik araştırması başkanı Alex Ilgayev’e göre herhangi bir kullanıcı, politika dosyası yazarını “got config” komutuyla değiştirerek kritik kusurdan yararlanma potansiyeline sahip olabilir.
Ilgayev, “Güvenlik açığı, bir ay önce bildirilen ve düzeltilen başka bir güvenlik açığının atlanmasıdır; bu güvenlik açığı, politika dosyası oluşturucusunun kimliğinin taklit edilmesine, boru hattı izinlerinin ele geçirilmesine ve herhangi bir kullanıcının özel depolarına erişim sağlanmasına olanak tanıdı” dedi. “GitLab, atlamayla ilgili resmi bilgi yayınlamasa da, GitLab kaynak kodunu inceleyerek, atlamanın, bot kullanıcısını gruptan çıkarmayı ve önceki güvenlik açığı akışının yeniden yürütülmesine izin vermeyi içerdiği görülüyor.”