Критическая «дыра» в GitLab позволяет запускать пайплайны с привилегиями любых пользователей

В GitLab Community и Enterprise Edition обнаружена критическая брешь, позволяющая злоумышленникам запускать пайплайны с привилегиями любых пользователей.

Эта уязвимость получила номер CVE-2024-5655 и высокий уровень опасности с оценкой в 9.6 из 10.

Подробности уязвимости

GitLab — это популярная платформа для управления проектами и отслеживания задач, используемая для непрерывной интеграции и развертывания (CI/CD)

Уязвимость затрагивает все версии GitLab CE/EE с 15.8 по 16.11.4, 17.0.0 по 17.0.2 и 17.1.0.

Злоумышленники могут использовать «дыру» для запуска пайплайнов от имени других пользователей, что может привести к выполнению нежелательных действий и компрометации данных.

Рекомендации по обновлению

GitLab уже выпустил обновленные версии 17.1.1, 17.0.3 и 16.11.5, которые устраняют CVE-2024-5655. Пользователям же рекомендуется как можно скорее обновиться до последних версий, чтобы защитить свои системы.

В процессе обновления пользователи должны учитывать два изменения:

1. Пайплайны больше не будут запускаться автоматически при изменении целевой ветки после слияния предыдущей. Пользователи должны вручную запускать пайплайны для выполнения CI.
2. CI_JOB_TOKEN по умолчанию отключен для аутентификации GraphQL с версии 17.0.0. Для доступа к API GraphQL пользователи должны настроить один из поддерживаемых типов токенов для аутентификации.
   

Дополнительные уязвимости

Кроме CVE-2024-5655, обновление устраняет ещё 13 проблем безопасности, три из которых имеют высокий уровень:

• CVE-2024-4901: Уязвимость XSS, позволяющая внедрять скрипты через злонамеренные комментарии к коммитам, что может привести к несанкционированным действиям и утечке данных.
• CVE-2024-4994: Уязвимость CSRF в API GraphQL, позволяющая злоумышленникам выполнять произвольные мутации GraphQL, вводя пользователей в заблуждение и вызывая нежелательные запросы.
  
• CVE-2024-6323: Ошибка авторизации в глобальном поиске GitLab, позволяющая злоумышленникам просматривать результаты поиска в приватных репозиториях, что может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.