Критическая уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
20-Сен-2023 01:51

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.3.4 и 16.2.7 (Community Edition и Enterprise Edition), в которых устранена критическая уязвимость (CVE-2023-4998), позволяющая запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем через применение плановых политик сканирования безопасности. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя.
Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Уязвимость затрагивает редакцию GitLab Enterprise Edition и облачный сервис GitLab.com. Подробности эксплуатации будут опубликованы через месяц после публикации обновления. При этом известно, что уязвимость является вариацией ранее исправленной похожей проблемы CVE-2023-3932.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_gitlab
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 05:15
Часовой пояс: UTC + 5