PT-2024-4667 · Gitlab · Gitlab Ce/Ee+1
Yvvdwf
·
Publicado
2024-07-10
·
Atualizado
2025-01-09
·
CVE-2024-6385
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
GitLab CE/EE versões 15.8 a 16.11.6
GitLab CE/EE versões 17.0 a 17.0.4
GitLab CE/EE versões 17.1 a 17.1.2
Descrição:
Foi descoberta uma falha no GitLab CE/EE que permite que um invasor acione um pipeline como outro usuário em determinadas circunstâncias. Isso está relacionado a um controle de acesso inadequado, permitindo que um invasor execute tarefas de pipeline com os direitos de qualquer outro usuário. Mais de 30 milhões de usuários, incluindo empresas da Fortune 100, estão potencialmente afetados. A vulnerabilidade permite que invasores se passem por outros usuários e executem tarefas de pipeline arbitrárias, representando um risco significativo.
Recomendações:
Para as versões 15.8 a 16.11.6 do GitLab CE/EE, atualize para a versão 16.11.6 ou posterior.
Para as versões 17.0 a 17.0.4 do GitLab CE/EE, atualize para a versão 17.0.4 ou posterior.
Para as versões 17.1 a 17.1.2 do GitLab CE/EE, atualize para a versão 17.1.2 ou posterior.
Para atualizar, execute os seguintes comandos:
Para o GitLab CE
sudo apt-get update
sudo apt-get install gitlab-ce=17.1.2-ce.0
Para o GitLab EE
sudo apt-get update
sudo apt-get install gitlab-ee=17.1.2-ee.0
Como solução temporária, considere restringir o acesso a tarefas de pipeline para minimizar o risco de exploração.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitlab
Gitlab Ce/Ee