Vulnerabilidade crítica no GitLab permite execução de Pipelines por qualquer usuário

Uma vulnerabilidade crítica está afetando determinadas versões dos produtos GitLab Community e Enterprise Edition, permitindo a execução de pipelines como qualquer usuário.

O GitLab é uma popular plataforma web de rastreamento de trabalho e gerenciamento de projetos de software de código aberto, com cerca de um milhão de usuários ativos. A vulnerabilidade, identificada como CVE-2024-5655, tem uma pontuação de gravidade de 9,6 em 10. Em determinadas circunstâncias, um invasor pode explorar essa falha para acionar um pipeline como outro usuário.

Os pipelines do GitLab são um recurso do sistema de CI/CD que permite aos usuários automatizar processos e tarefas, em paralelo ou sequência, para criar, testar ou implantar alterações de código.

A vulnerabilidade afeta todas as versões do GitLab CE/EE de 15.8 a 16.11.4, 17.0.0 a 17.0.2 e 17.1.0 a 17.1.0.

"Recomendamos enfaticamente que todas as instalações que estejam executando uma versão afetada sejam atualizadas para a versão mais recente o mais rápido possível." - GitLab.

O GitLab abordou a vulnerabilidade lançando as versões 17.1.1, 17.0.3 e 16.11.5, e recomenda que os usuários apliquem as atualizações imediatamente.

Além da correção da vulnerabilidade, as novas versões trazem duas mudanças significativas:

1. Os pipelines não serão mais executados automaticamente quando uma solicitação de merge for redirecionada após o merge da ramificação de destino anterior. Os usuários devem iniciar manualmente o pipeline para executar a CI para suas alterações.
   

2. O CI_JOB_TOKEN agora está desativado por padrão para a autenticação do GraphQL a partir da versão 17.0.0. Esta alteração foi incorporada também nas versões 17.0.3 e 16.11.5. Para acessar a API do GraphQL, os usuários precisam configurar um dos tipos de token suportados para autenticação.

A atualização mais recente do GitLab também corrige 13 outros problemas de segurança, três dos quais têm gravidade "alta" (pontuação CVSS v3.1: 7,5 - 8,7). Esses problemas são:

• CVE-2024-4901: Vulnerabilidade XSS armazenada que permite que notas de confirmação mal-intencionadas de projetos importados injetem scripts, podendo levar a ações não autorizadas e exposição de dados.

• CVE-2024-4994: Vulnerabilidade CSRF na API GraphQL que permite que invasores executem mutações arbitrárias do GraphQL enganando usuários autenticados, levando à manipulação de dados e operações não autorizadas.

• CVE-2024-6323: Falha de autorização no recurso de pesquisa global do GitLab, permitindo que invasores visualizem resultados de pesquisa de repositórios privados em projetos públicos, resultando em vazamentos de informações e acesso não autorizado a dados confidenciais.

Recursos para atualizações do GitLab estão disponíveis no site oficial, e as diretrizes do GitLab Runner podem ser encontradas na página dedicada.

Via - BC