Ranjivosti u sustavu GitLab

• Kritična ranjivost CVE-2024-5655 (CVSS ocjena 9.6), omogućuje napadaču da pod određenim okolnostima pokrene pipeline kao drugi korisnik. GitLab pipelines su značajka sustava za kontinuiranu integraciju/kontinuiranu isporuku (CI/CD) koja korisnicima omogućuje automatsko pokretanje procesa i zadataka, bilo paralelno ili u slijedu, kako bi izgradili, testirali ili implementirali promjene u kôdu.
• Ranjivost CVE-2024-4901 (CVSS ocjena 8.7), kojom se Stored Cross-Site Scripting (XSS) ranjivost može uvesti iz projekta sa zlonamjernim commit bilješkama.     
• Ranjivost CVE-2024-4994 (CVSS ocjena 8.1), omogućuje Cross-Site Request Forgery (CSRF) napad na GitLab GraphQL API što dovodi do izvršenja proizvoljnih GraphQL mutacija.
• Ranjivost CVE-2024-6323 (CVSS ocjena 7.5), omogućuje napadaču curenje sadržaja privatnog repozitorija u javni projekt.

• sve verzije od 15.8 do prije verzije 16.11.5
• sve verzije od 17.0 do prije verzije 17.0.3
• sve verzije od 17.1 do prije verzije 17.1.1

• https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/
• https://www.bleepingcomputer.com/news/security/critical-gitlab-bug-lets-attackers-run-pipelines-as-any-user/
• https://thehackernews.com/2024/06/gitlab-releases-patch-for-critical-cicd.html