Dana 22. svibnja 2024., tvrtka GitLab je objavila više verzija sigurnosnih nadogradnji za GitLab Community Edition (CE) i Enterprise Edition (EE), a koje sadrže važne sigurnosne zakrpe i ispravke grešaka (engl. bug). Ove zakrpe posebno adresiraju Cross-Site Scripting (XSS) ranjivost koja napadaču omogućuje preuzimanje korisničkih računa.

Preporučuje se žurno ažuriranje zahvaćenih verzija na najnovije dostupne ispravljene verzije.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 

Ranjivost CVE-2024-4835 (CVSS ocjena 8.0), proizlazi iz XSS propusta unutar GitLab-a. Iskorištavanjem navedenog propusta i stanja putem integriranog razvojnog okruženja (IDE) baziranog na Visual Studio Code editoru unutar GitLaba (VS code editor (Web IDE)), napadač može izraditi zlonamjernu stranicu kako bi eksfiltrirao osjetljive korisničke informacije. Za iskorištavanje ove ranjivosti potrebna je korisnička interakcija, što povećava složenost napada.

Zahvaćeni proizvodi:

Barem jednom od ranjivosti zahvaćene su sve verzije GitLab Community Edition (CE) i Enterprise Edition (EE):

Preporuke:

Preporučuje se žurno ažuriranje zahvaćenih verzija na najnovije dostupne ispravljene verzije.

Više informacija moguće je pročitati na sljedećoj poveznici:

[inicijalna objava: 28.05.2024 - 11:45]