GitLab waarschuwt zijn gebruikers voor een kwetsbaarheid die hackers in staat stelt pipelines te draaien via geplande security scan policies. De hacker doet zich in dit geval voor als een andere gebruiker. Een update naar de laatste versie van het opensource-softwarebeheerplatform is gewenst.
De nu gevonden kritieke kwetsbaarheid CVE-2023-4998 werd gevonden door een onafhankelijke security-onderzoeker en is een bypass van een eerder in augustus dit jaar gepatchte CVE-2023-3932-kwetsbaarheid met een soortgelijk probleem.
Toegang tot gevoelige informatie
Door zich voor te doen als iemand anders, kunnen hackers met de recent gevonden kwetsbaarheid toegang krijgen tot gevoelige informatie. Daarnaast kunnen zij de permissies van de persoon als wie zij zich voordoen gebruiken voor andere kwaadaardige activiteiten. Het is zo mogelijk om code te draaien, data aan te passen en bepaalde events binnen het GitLab-systeem te activeren.
Update voorkomt security-probleem
De getroffen versies zijn GitLab Community Edition (CE) en Enterprise Edition (EE) v13.12 tot v16.2.7. Ook worden versies 16.3 tot v16.3.4 getroffen. GitLab raadt gebruikers aan te updaten naar de laatste v16.3.4 en v16.2.7 van respectievelijk GitLab Community Edition (CE) en Enterprise Edition (EE) te updaten.
Gebruikers van GitLab-versie voor v16.2 die nog geen fixes voor het security-probleem hebben ontvangen, moeten ervoor zorgen ‘Direct transfers’ en ‘Security policies’ niet gelijktijdig aan te laten staan.
Lees ook: GitLab 16 onthuld