Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution
2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは 、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS:9.9) も含まれている。
GitLab はアドバイザリで、「GitLab CE/EE のバージョン 8.14〜17.1.7 未満/17.2〜17.2.5 未満/17.3〜17.3.2 未満に影響を及ぼす、複数の脆弱性が発見された。これらの脆弱性により、特定の条件下において、攻撃者が任意のユーザーとして、パイプラインを起動することが可能になる」と述べている。
今回のセキュリティ・アップデートである、GitLab Community Edition (CE)/Enterprise Edition (EE) の 17.3.2/17.2.5/17.1.7 においては、17件の脆弱性 (深刻度 Critical 1件/High 3件/Medium 11件/Low 2件) が修正された。
現時点において、この脆弱性の悪用は確認されていないが、ユーザーに対して推奨されるのは、可能な限り早急にパッチを適用して、潜在的な脅威を軽減することである。
この1年間において、GitLab がパッチを適用したものには、深刻度の高い脆弱性3件 CVE-2023-5009 (CVSS:9.6)/CVE-2024-5655 (CVSS:9.6)/CVE-2024-6385 (CVSS:9.6) がある。
さらに 2024年5月初旬には、GitLab の深刻な脆弱性 CVE-2023-7028 (CVSS:10.0) が、積極的な悪用が確認されたとして、米国 CISA の Known Exploited Vulnerabilities (KEV) カタログに登録されている。
GitLab の脆弱性は、クリティカルなアプリケーションの開発パイプラインに影響を及ぼすため、さまざまな業界においてリスクが生じることになります。ご利用のチームは、アップデートを お急ぎください。よろしければ、GitLab で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.