GitLab, Çarşamba günü, bir saldırganın keyfi bir kullanıcı olarak işlem hattı işlerini çalıştırmasına izin veren kritik bir kusur da dahil olmak üzere 17 güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
CVE-2024-6678 olarak izlenen sorun, maksimum 10.0 üzerinden 9.9 CVSS puanına sahip
Şirket, “GitLab CE/EE’de 8.14’ten başlayarak 17.1.7’ye, 17.2’den başlayarak 17.2.5’e ve 17.3’ten başlayarak 17.3.2’ye kadar tüm sürümleri etkileyen bir sorun keşfedildi. Bu sorun, bir saldırganın belirli koşullar altında keyfi bir kullanıcı olarak bir işlem hattını tetiklemesine olanak tanıyor” dedi. söz konusu bir uyarıda.
Bu güvenlik açığı, üç yüksek önem derecesine sahip, 11 orta önem derecesine sahip ve iki düşük önem derecesine sahip hatayla birlikte GitLab Community Edition (CE) ve Enterprise Edition (EE) için 17.3.2, 17.2.5, 17.1.7 sürümlerinde giderildi.
CVE-2024-6678’in, GitLab’ın geçtiğimiz yıl içinde düzelttiği dördüncü kusur olduğunu belirtmekte fayda var; CVE-2023-5009 (CVSS puanı: 9,6), CVE-2024-5655 (CVSS puanı: 9,6) ve CVE-2024-6385 (CVSS puanı: 9,6).
Kusurların aktif olarak kullanıldığına dair bir kanıt bulunmamakla birlikte, kullanıcıların olası tehditlere karşı önlem almak için yamaları mümkün olan en kısa sürede uygulamaları önerilir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Mayıs ayının başlarında kritik bir GitLab güvenlik açığının (CVE-2023-7028, CVSS puanı: 10.0) vahşi doğada aktif olarak istismar edildiğini açıkladı.
