Krytyczny błąd w GitLab pozwala na uruchamianie zadań CI/CD jako inny użytkownik

W oprogramowaniu GitLab, zarówno w wersji Community, jak i Enterprise, został znaleziony poważny błąd (ocena 9,6 wg CVSS 3.0), któremu nadano identyfikator CVE-2024-6385. Dotyczy on wersji od 15.8 do 16.11.6 (bez 16.11.6), od 17.0 do 17.0.4 (bez tej ostatniej), oraz od 17.1 do 17.1.2 (również bez ostatniej).

Pełne informacje na temat podatności nie zostały jeszcze ujawnione, ale wiadomo, że polega na tym, że w pewnych okolicznościach pozwala atakującemu na wykonanie zadań (ang. jobs) CI/CD jako inny, dowolnie wybrany użytkownik platformy GitLab. Stwarza to ryzyko dostępu do poufnych danych typu klucze API, hasła czy własnościowego kodu źródłowego.

Błąd jest z opisu i skutków bardzo podobny do załatanego w czerwcu CVE-2024-5655, więc w najbliższym czasie należy spodziewać się fali ataków z wykorzystaniem tych podatności.

GitLab wydał wersje oprogramowania zawierające stosowne łatki. Są to odpowiednio wersje 16.11.6, 17.0.4 oraz 17.1.2. Zalecamy jak najszybszą aktualizację.

~Paweł Różański