Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Kritische Schwachstelle in GitLab entdeckt

GitLab hat Sicherheitsupdates für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht, um acht Schwachstellen zu beheben. Dazu zählt ein kritischer Fehler (CVE-2024-9164) mit einem CVSS-Wert von 9,6, der die Ausführung von CI/CD-Pipelines auf beliebigen Branches ermöglichen könnte.

THNBedrohungen
Lesezeit 1 Min.

„In GitLab EE wurde ein Problem entdeckt, das alle Versionen ab 12.5 bis vor 17.2.9, ab 17.3 bis vor 17.3.5 und ab 17.4 bis vor 17.4.2 betrifft und die Ausführung von Pipelines auf beliebigen Branches ermöglicht“, so GitLab in einem Sicherheitsbericht.

Von den sieben weiteren Sicherheitslücken sind vier als hoch, zwei als mittel und eine als gering eingestuft:

  • CVE-2024-8970 (CVSS-Wert: 8,2): Ermöglicht es einem Angreifer unter bestimmten Umständen, eine Pipeline im Namen eines anderen Nutzers auszulösen.
  • CVE-2024-8977 (CVSS-Wert: 8,2): Ermöglicht SSRF-Angriffe in GitLab EE-Instanzen mit aktiviertem Product Analytics Dashboard.
  • CVE-2024-9631 (CVSS-Wert: 7,5): Verursacht eine Verlangsamung bei der Anzeige von Diffs in Merge-Anfragen mit Konflikten.
  • CVE-2024-6530 (CVSS-Wert: 7,3): Führt zu einer HTML-Injektion auf der OAuth-Seite aufgrund eines Cross-Site-Scripting-Problems bei der Autorisierung einer neuen Anwendung.

Die aktuelle Meldung ist die jüngste in einer Reihe von Schwachstellen, die GitLab in den letzten Monaten im Zusammenhang mit Pipelines entdeckt hat.

Im vergangenen Monat hat GitLab eine weitere kritische Schwachstelle (CVE-2024-6678, CVSS-Wert: 9,9) behoben, die es einem Angreifer ermöglichen könnte, Pipeline-Jobs unter einem beliebigen Benutzer auszuführen. Zuvor wurden bereits drei ähnliche Schwachstellen gepatcht: CVE-2023-5009, CVE-2024-5655 und CVE-2024-6385, alle mit einem CVSS-Wert von 9,6.

Obwohl es bisher keine Anzeichen für eine aktive Ausnutzung dieser Schwachstellen gibt, empfiehlt GitLab den Nutzern dringend, ihre Instanzen auf die neueste Version zu aktualisieren, um sich vor potenziellen Bedrohungen zu schützen.