Uma recente atualização corrige um bug crítico do GitLab que permitia que invasores executassem pipelines como qualquer usuário.
Uma vulnerabilidade crítica está afetando certas versões dos produtos GitLab Community e Enterprise Edition, que podem ser exploradas para executar pipelines como qualquer usuário.
Atualização corrige um bug crítico do GitLab
O GitLab é uma popular plataforma de gerenciamento de projetos e rastreamento de trabalho de software de código aberto baseada na web. Tem cerca de um milhão de usuários de licença ativos.
E o problema de segurança abordado na última atualização é rastreado como CVE-2024-5655 e tem uma pontuação de gravidade de 9,6 em 10. Sob certas circunstâncias, que o fornecedor não definiu, um invasor pode aproveitá-lo para acionar um pipeline como outro usuário .
Os pipelines do GitLab são um recurso do sistema de Integração Contínua/Implantação Contínua (CI/CD) que permite aos usuários executar automaticamente processos e tarefas, em paralelo ou em sequência, para construir, testar ou implantar alterações de código.
A vulnerabilidade afeta todas as versões do GitLab CE/EE de 15.8 a 16.11.4, 17.0.0 a 17.0.2 e 17.1.0 a 17.1.0.
“Recomendamos fortemente que todas as instalações que executam uma versão afetada pelos problemas descritos abaixo sejam atualizadas para a versão mais recente o mais rápido possível” – GitLab
O GitLab corrigiu a vulnerabilidade lançando as versões 17.1.1, 17.0.3 e 16.11.5 e recomenda aos usuários que apliquem as atualizações o mais rápido possível.
O fornecedor também informa que a atualização para as versões mais recentes vem com duas alterações importantes que os usuários devem estar cientes:
- Os pipelines não serão mais executados automaticamente quando uma solicitação de mesclagem for redirecionada após sua ramificação de destino anterior ser mesclada. Os usuários devem iniciar manualmente o pipeline para executar o CI para suas alterações.
- CI_JOB_TOKEN agora está desabilitado por padrão para autenticação GraphQL a partir da versão 17.0.0, com essa alteração retroportada para as versões 17.0.3 e 16.11.5. Para acessar a API GraphQL, os usuários precisam configurar um dos tipos de token suportados para autenticação.
A atualização mais recente do GitLab também introduz correções de segurança para outros 13 problemas, sendo a gravidade de três deles classificada como “alta” (pontuação CVSS v3.1: 7,5 – 8,7). Esses três são resumidos da seguinte forma:
- CVE-2024-4901 : Vulnerabilidade de XSS armazenado permitindo que notas de confirmação maliciosas de projetos importados injetem scripts, potencialmente levando a ações não autorizadas e exposição de dados.
- CVE-2024-4994 : Uma vulnerabilidade CSRF na API GraphQL que permite que invasores executem mutações arbitrárias do GraphQL, enganando usuários autenticados para que façam solicitações indesejadas, potencialmente levando à manipulação de dados e operações não autorizadas.
- CVE-2024-6323 : Falha de autorização no recurso de pesquisa global do GitLab, permitindo que invasores visualizem resultados de pesquisa de repositórios privados em projetos públicos, levando potencialmente a vazamentos de informações e acesso não autorizado a dados confidenciais.
Recursos para atualizações do GitLab estão disponíveis aqui, enquanto as diretrizes do GitLab Runner podem ser encontradas nesta página.
