GitLab lança patches de segurança para vulnerabilidade crítica

O GitLab enviou patches de segurança para resolver uma falha crítica que permite que um ofensor execute pipelines como outro usuário.

A vulnerabilidade identificada como CVE-2023-5009 (score CVSS: 9,6), afeta todas as versões do GitLab Enterprise Edition (EE) a partir de 13.12 e anteriores a 16.2.7, bem como de 16.3 e anteriores a 16.3.4.

“Era possível para um ofensor executar pipelines como um usuário comum por meio de políticas de verificação de segurança agendadas”, disse o GitLab em um comunicado. “Este foi um bypass do CVE-2023-3932 mostrando impacto adicional.”

A exploração bem-sucedida do CVE-2023-5009 pode permitir que um ofensor acesse informações confidenciais ou aproveite as permissões elevadas do usuário para modificar o código-fonte ou executar código arbitrário no sistema, levando a graves consequências.

O pesquisador de segurança Johan Carlsson (também conhecido como joaxcar) foi o responsável pela descoberta e relato da falha. CVE-2023-3932 foi abordado pelo GitLab no início de agosto de 2023.

A vulnerabilidade foi resolvida nas versões 16.3.4 e 16.2.7 do GitLab.

A divulgação ocorre no momento em que um bug crítico do GitLab de dois anos (CVE-2021-22205, socore CVSS: 10,0) continua sendo explorado ativamente por ofensores em ataques ao redor do mundo.

No início desta semana, a Trend Micro revelou que um ofensor ligado à China conhecido como Earth Lusca está atacando agressivamente servidores públicos, transformando em armadilhas com N-day falwas, incluindo CVE-2021-22205, para se infiltrar nas redes das vítimas.

É altamente recomendável que os usuários atualizem suas instalações do GitLab para a versão mais recente o mais rápido possível para se protegerem contra potenciais riscos.

Fonte