CVE-2024-5655

Versões 15.8 a 16.11.5 do GitLab CE/EE

Versões 17.0 a 17.0.3 do GitLab CE/EE

Versões 17.1 a 17.1.1 do GitLab CE/EE

Uma falha no GitLab CE/EE permite que um invasor acione um pipeline como outro usuário em determinadas circunstâncias. A vulnerabilidade está relacionada a problemas de controle de acesso, que podem ser explorados por um invasor remoto para executar código arbitrário ao acionar pipelines em nome de outros usuários. A gravidade estimada dessa falha é alta, com um impacto potencial na segurança do desenvolvimento de software. Também há menções a outras vulnerabilidades, incluindo problemas de XSS armazenado e CSRF.

Para as versões 15.8 a 16.11.5 do GitLab CE/EE, atualize para a versão 16.11.5 ou posterior.

Para as versões 17.0 a 17.0.3 do GitLab CE/EE, atualize para a versão 17.0.3 ou posterior.

Para as versões 17.1 a 17.1.1 do GitLab CE/EE, atualize para a versão 17.1.1 ou posterior.

Como solução alternativa temporária, considere restringir o acesso aos pipelines de CI/CD para minimizar o risco de exploração. Além disso, desativar a autenticação usando CI JOB TOKEN por padrão e impedir a execução automática de pipelines quando o branch de destino for alterado em uma solicitação de mesclagem pode ajudar a mitigar o problema.