GitLab درباره سه آسیبپذیری هشدار داده است که یکی از آنها دارای سطح تهدید “بالا” است. پچهای امنیتی برای نسخههای جدیدتر منتشر شدهاند.
مدیران این شرکت به دلیل وجود آسیب پذیری های XSS و DoS، نسخههای بهروزشدهای از این پلتفرم پر مصرف را منتشر کردهاند. این بهروزرسانیها هم برای نسخه جامعه (CE) و هم برای نسخه سازمانی (EE) در دسترس هستند.
این پچ امنیتی در نسخههای ۱۷.۸.۱، ۱۷.۷.۳ و ۱۷.۶.۴ سه آسیبپذیری را برطرف میکنند که یکی از آنها دارای سطح تهدید “بالا” و دو مورد دیگر دارای سطح “متوسط” هستند.
GitLab در وبلاگ خود به کاربران توصیه کرده است که این بهروزرسانیها را در اسرع وقت پیگیری و نصب کنند. کاربرانی که از سرویس GitLab.com استفاده میکنند، نیازی به اقدام خاصی ندارند، زیرا سرورهای ابری توسط خود GitLab بهروزرسانی شدهاند.
آسیبپذیری در برابر حملات XSS و DoS
آسیبپذیری با سطح تهدید “بالا” که با CVE-2025-0314 شناخته میشود و امتیاز CVSS 8.7 از ۱۰ را دریافت کرده، بهعنوان یک نقص Stored XSS شناخته میشود. این آسیبپذیری مربوط به نمایش محتوای Asciidoctor است و به مهاجمان اجازه میدهد کد مخرب را روی سرور ذخیره کنند، که میتواند نه تنها توسط ورودیهای مستقیم، بلکه از طریق درخواستهای دیگر نیز اجرا شود. در ماه ژوئن ۲۰۲۴ نیز یک آسیبپذیری مشابه در GitLab گزارش شده بود.
آسیبپذیری دیگر با کد CVE-2024-11931 و امتیاز CVSS 6.4 دارای سطح تهدید “متوسط” است. این نقص میتواند از طریق ابزار CI Lint، که برای بررسی صحت فایلهای پیکربندی CI/CD مورد استفاده قرار میگیرد، متغیرهای محافظتشده از فرآیند CI/CD را افشا کند.
سومین آسیبپذیری با کد CVE-2024-6324 و امتیاز CVSS 4.3 نیز دارای سطح تهدید “متوسط” است. این نقص مهاجمان را قادر میسازد که از طریق ارجاعات چرخشی بین Epics، حملات Denial of Service (DoS) را اجرا کنند.
