GitLab hat erneut Fixes veröffentlicht, um eine kritische Sicherheitslücke in seiner Community Edition (CE) und Enterprise Edition (EE) zu beheben, die ausgenutzt werden könnte, um beliebige Dateien zu schreiben, während ein Arbeitsbereich erstellt wird.
Die Schwachstelle mit der Bezeichnung CVE-2024-0402 hat eine CVSS-Wertung von 9.9 von 10 möglichen Punkten.
„Es wurde ein Problem entdeckt in GitLab CE/EE, das alle Versionen von 16.0 vor 16.5.8, 16.6 vor 16.6.6, 16.7 vor 16.7.4 und 16.8 vor 16.8.1 betrifft. Dadurch kann ein authentifizierter Benutzer Dateien an beliebige Speicherorte auf dem GitLab-Server schreiben, während ein Arbeitsbereich erstellt wird“, sagte GitLab in einer am 25. Januar 2024 veröffentlichten Warnung.
Das Unternehmen wies auch darauf hin, dass die Patches für den Fehler auf die Versionen 16.5.8, 16.6.6, 16.7.4 und 16.8.1 zurückportiert wurden.
GitLab hat auch vier Schwachstellen mittlerer Schwere behoben, die zu einem sogenannten ReDoS-Angriff (regular expression denial-of-service), HTML-Injection und der Offenlegung der öffentlichen E-Mail-Adresse eines Benutzers über den Tags-RSS-Feed führen könnten.
Das neueste Update kommt zwei Wochen nachdem die DevSecOps-Plattform Fixes veröffentlicht hat, um zwei kritische Schwachstellen zu schließen, darunter eine, die ausgenutzt werden konnte, um Konten zu übernehmen, ohne dass eine Benutzerinteraktion erforderlich ist (CVE-2023-7028, CVSS-Wertung: 10.0).