GitLab Security Alert: CVE-2024-8312 and CVE-2024-6826 Patched
2024/10/23 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) の複数バージョンに影響を及ぼす、2つの脆弱性 CVE-2024-8312/CVE-2024-6826 に対処するセキュリティ・アップデートのリリースである。ユーザーに対して強く推奨されるのは、迅速なアップデートである。これらの脆弱性が悪用されると、XSS 攻撃や DoS 攻撃につながる恐れがある。
CVE-2024-8312 (CVSS 8.7):XSS (Cross-Site Scripting) 脆弱性
GitLab のアドバイザリには、「この脆弱性を悪用する攻撃者は、差分ビューのグローバル検索フィールドに HTML を注入し、XSS 攻撃につなげる可能性を得る。そして、悪用に成功した攻撃者は、ユーザー・データの窃取やセッションの乗っ取りに加えて、悪意の Web サイトへとユーザーをリダイレクトさせる可能性を手にする」と記されている。
CVE-2024-6826 (CVSS 6.5):DoS (Denial of Service) 脆弱性
GitLab は、「脆弱性 CVE-2024-6826 を悪用する攻撃者は、細工された XML マニフェスト・ファイルをインポートすることで、サービス拒否を引き起こす可能性を得る。そして、悪用に成功した攻撃者は、サーバに過負荷を与え、正規ユーザーのサービスを妨害する可能を手にする」と述べている。
影響を受けるバージョン
これらの脆弱性は、GitLab のバージョン 15.10〜17.3.6/17.4〜17.4.3/17.5 〜 17.5.1 に影響を及ぼす。
修正バージョン
すでに GitLab は、最新バージョン 17.5.1/17.4.3/17.3.6 をリリースし、これらの脆弱性を修正している。同社は、「影響を受けるバージョンを使用している、すべてのユーザーに対して強く推奨されるのは、可能な限り早急に、最新バージョンへとアップグレードすることだ」と指摘している。
GitLab CE/EE に存在する、2件の脆弱性が FIX とのことです。XSS の脆弱性 CVE-2024-8312 は、CVSS 値が 8.7 ですので、ご注意ください。GitLab に関連する直近のトピックは、2024/10/09 の「GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX:直ちにアップデートを!」となっています。よろしければ、GitLab で検索で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.