GitLab inc. hefur gefið út viðvörun vegna gríðarlega alvarlegs veikleika í GitLab kóðastjórnunarkerfinu.
CERT-IS mælir með að uppfæra strax!
Veikleikar í GitLab
CVE-2023-7028 [1] var gefinn 10.0 í einkunn í CVSSv3 einkunnarkerfinu af GitLab. Veikleikinn gerir árásaraðilum kleift að óska eftir endursetningu á lykilorði hjá notanda og fá tölvupóst sendan á netfang sem árásaraðili ræður yfir.
CVE-2023-5356 [2] er með 9.6 í einkunn í CVSSv3 einkunnarkerfinu. Veikleikinn gerir árásaraðilum kleift að komast framhjá aðgangsstýringum og keyra skipanir á Slack og Mattermost spjallforritunum í umboði notenda.
Lesa má nánar um þessa veikleika og aðra í fréttatilkynningu frá GitLab sem segir jafnframt hvaða útgáfur eru búnar að fá kóðauppfærslu gegn þessum veikleikum. [3]
Tilvísanir
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-7028
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-5356
[3] https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/