Tilkynnt var um alvarlegan veikleika í GitLab sem gerir óauðkenndum árásaraðilum kleift að taka yfir notendareikninga með Cross-Site Scripting (XSS) árásum.
CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar
GitLab EE/CE
Veikleikinn CVE-2024-4835 með CVSSv3 veikleikastig upp á 9.6 er Cross-Site Scripting (XSS) veikleiki í VS Code Editor (Web IDE) sem gerir ógnaraðilum kleift að taka yfir notendareikninga með því fá notendur inn á síður sem innihalda spillikóða sem nýtir veikleikann [1,2].
Eftirfarandi kerfi eru veik fyrir göllunum:
GitLab Community Edition (CE) og Enterprise Edition (EE): 17.0.0, 16.11.2, 16.10.5
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum:
GitLab Community Edition (CE) og Enterprise Edition (EE): 17.0.1, 16.11.3, 16.10.6
Tilvísanir
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-4835
[2] https://about.gitlab.com/releases/2024/01/critical-security-release-gitlab-16-10-6-released/
