Af Eskil Sørensen, 11/07/24
Der er fundet en kritisk sårbarhed i GitLab Community- og Enterprise-udgaver, som gør det muligt for en ondsindet aktør at afvikle pipeline-job som andre brugere end en selv (eller systemets). Det er det der forstås som en "arbitrary user".
Sårbarheden har id’et CVE-2024-5655 og en CVSS-score på 9,6. Den påvirker allle GitLab CE/EE-versioner fra 15.8 til 16.11.6, 17.0 til 17.0.4 og 17.1 til 17.1.2.
Sårbarheden kan benyttes til "supply chain"-angreb. Det skyldes, at GitLab historisk kan indeholde adgange til virksomhedsspecifikke oplysninger, her under API keys eller proprietær kode. Dette betyder, at ondsindede aktører ved adgange til GitLab kan indsætte kode i CI/CD (Continuous Integration/Continuous Deployment)-miljøer. Det kan i sidste ende indebærer, at virksomheders "repositories" kompromitteres.
Der er endnu ingen rapporter om aktiv udnyttelse af sårbarheden.
Det anbefales, at alle installationer, der kører en version, der er berørt af overstående versioner, opgraderes til den nyeste version så hurtigt som muligt.
GitLab.com og GitLab Dedicated kører allerede den patchede version.