Компания рекомендует срочно обновиться для защиты от потенциальных атак.
GitLab выпустил обновления безопасности для устранения 14 уязвимостей, включая одну критическую, которая может позволить злоумышленникам запускать CI/CD пайплайны от имени любого пользователя. Выявленные недостатки затрагивают GitLab Community Edition (CE) и Enterprise Edition (EE).
Наиболее серьёзная из найденных уязвимостей — CVE-2024-5655 с оценкой 9.6 по CVSS. Она позволяет злоумышленнику запускать пайплайн от имени другого пользователя при определённых условиях. Эта уязвимость влияет на следующие версии GitLab CE и EE:
GitLab сообщил, что обновление включает два существенных изменения: аутентификация с использованием CI_JOB_TOKEN по умолчанию отключена, а пайплайны больше не запускаются автоматически при изменении целевой ветки в запросе на слияние после слияния предыдущей целевой ветки.
Среди других важных уязвимостей, исправленных в последнем обновлении:
Хотя пока нет данных об активной эксплуатации этих уязвимостей, пользователям GitLab CE/EE рекомендуется как можно скорее установить последние обновления для защиты от любых потенциальных угроз.
Ладно, не доказали. Но мы работаем над этим