Firma GitLab, popularna platforma hostingowa dla projektów programistycznych, zgłosiła poważną lukę w zabezpieczeniach, która umożliwia nieautoryzowanym atakującym przejęcie kont użytkowników. Wadliwe zabezpieczenia, identyfikowane pod oznaczeniem CVE-2024-4835, zostały znalezione w internetowym edytorze kodu źródłowego (Web IDE) oferowanym przez GitLab.
Zgodnie z opisem problemu, luka pozwala na przeprowadzenie ataków typu cross-site scripting (XSS), które mogą być wykorzystane do ustawienia poufnych informacji za pomocą specjalnie przygotowanych stron internetowych. Co niepokojące, do eksploatacji tej luki nie jest wymagane wcześniejsze uwierzytelnienie, co oznacza, że każda osoba mająca dostęp do odpowiednio spreparowanej treści może wykorzystać tę słabość.
W odpowiedzi na zagrożenie, GitLab natychmiast wydał aktualizacje zabezpieczeń dla swoich wersji Community and Enterprise Edition – 17.0.1, 16.11.3 oraz 16.10.6. Firma podkreśliła wagę szybkiego zaktualizowania oprogramowania, w celu zapobiegania możliwościom nadużyć. “Te wersje zawierają ważne poprawki błędów i poprawki bezpieczeństwa, dlatego zdecydowanie zalecamy natychmiastową aktualizację wszystkich instalacji GitLab,” ogłosił przedstawiciel firmy.
Podczas tej samej aktualizacji bezpieczeństwa, GitLab zaadresował także sześć innych luk o umiarkowanym stopniu zagrożenia. Wśród nich znalazła się luka w zabezpieczeniach typu cross-site request forgery dotycząca serwera agenta Kubernetes (CVE-2023-7045) oraz luka typu denial of service (CVE-2024-2874), które mogłyby pozwolić atakującym na zablokowanie zasobów internetowych platformy.
Znaczenie bezpieczeństwa na platformach takich jak GitLab jest nieocenione, zwłaszcza że hostowane są tam klucze API, zastrzeżone kody i inne poufne dane. Naruszenia zabezpieczeń mogą prowadzić do znaczących szkód, włączając ataki na łańcuch dostaw oraz manipulacje środowiskami CI/CD i repozytoriami. W związku z tym, eksperci z branży cyberbezpieczeństwa zalecają firmom, aby regularnie aktualizowały swoje systemy i stosowały zalecane praktyki bezpieczeństwa w celu ochrony przed podobnymi zagrożeniami.
