Kritisk sårbarhed i GitLab Community Edition og Enterprise Edition

GitLab har netop frigivet opdateringer, som adresserer en "Pipeline Execution"-sårbarhed. En sårbarhed, der gør det muligt for en ondsindet aktør at udløse en pipeline - som en vilkårlig bruger under særlige omstændigheder kan udnytte.

De særlige omstændigheder er naturligvis ikke frigivet endnu, men der er tale om en sårbarhed, der kan udnyttes uden brugerinteraktion og i øvrigt heller ikke kræver administrative rettigheder. Derfor har sårbarheden fået den næsthøjeste score på 9,9 på CVSS-skalaen.

Sårbarheden har id’et CVE-2024-6678.

De berørte systemer er følgende versioner af GitLab Community Edition (CE) og Enterprise Edition (EE):

Versioner fra 8.14 til 17.1.7, 17.2 til 17.2.5 og 17.3 til 17.3.2

Der er endnu ikke rapporter om aktiv udnyttelse.

Det anbefales at opgradere i henhold til GitLabs anvisninger.

Links:

https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/