GitLab сообщило критической уязвимости в своих продуктах GitLab Community и GitLab Enterprise, позволяющей злоумышленнику запускать конвейеры от имени любого пользователя.
Уязвимость CVE-2024-6385(оценка CVSS 9.6) затрагивает версии GitLab CE/EE от 15.8 до 16.11.6, 17.0 до 17.0.4 и 17.1 до 17.1.2. Злоумышленник может использовать недостаток для запуска новых пайплайнов от имени произвольного пользователя при определенных условиях, которые GitLab пока не раскрыл.
Пайплайны GitLab являются ключевой частью системы Continuous Integration/Continuous Deployment (CI/CD), которая позволяет пользователям автоматически запускать процессы и задачи для сборки, тестирования и развертывания изменений в коде.
Потенциально, эксплуатация уязвимости может привести к значительным последствиям, включая компрометацию цепочки поставок, если злоумышленник внедрит вредоносный код в среды CI/CD, скомпрометировав репозитории организации.
Компания выпустила обновления для GitLab Community и Enterprise версий 17.1.2, 17.0.4 и 16.11.6, чтобы устранить уязвимость, и настоятельно рекомендует администраторам немедленно обновить все установки до последних версий.