Diese Schwachstelle ist auf unzureichende Einschränkungen bei der Ausführung von Pipelines in GitLab EE zurückzuführen. Sie ermöglicht es nicht autorisierten Benutzern, Pipelines auf Branches auszulösen, die sie nicht kontrollieren, was zur unbefugten Ausführung von Code oder zur Offenlegung sensibler Daten führen kann. GitLab wird in vielen Unternehmen umfassend für CI/CD genutzt, was dies zu einem kritischen Problem macht, insbesondere in großen Umgebungen. Obwohl derzeit keine bestätigten Berichte über eine aktive Ausnutzung vorliegen, deutet der hohe CVSS-Wert (9,6) darauf hin, dass die Schwachstelle bei fehlender Korrektur leicht ausgenutzt werden könnte. Angesichts der Popularität von GitLab EE ist es wichtig, dass betroffene Organisationen sofort Maßnahmen zur Risikominderung ergreifen.
| Produkt | GitLab |
| Datum | 18.10.2024 17:08:33 |
| Informationen |
|
Technische Zusammenfassung
Eine kritische Schwachstelle (CVE-2024-9164) in der GitLab Enterprise Edition (EE) ermöglicht es nicht autorisierten Benutzern, Pipelines auf Branches auszuführen, auf die sie eigentlich keinen Zugriff haben sollten. Dieser Fehler kann zur Offenlegung sensibler Daten und zur Manipulation kritischer Workflows führen. Die Schwachstelle betrifft mehrere Versionen von GitLab EE und hat erhebliche Auswirkungen auf die Sicherheit, insbesondere in Umgebungen, in denen CI/CD-Pipelines eingesetzt werden. Das Problem wurde mit dem neuesten Update behoben, und Organisationen, die betroffene Versionen verwenden, sollten den Patch umgehend installieren, um potenziellen Missbrauch zu verhindern.
Empfehlungen
Aktualisieren Sie auf die neueste Version (17.2.9, 17.3.5 oder 17.4.2), um diese Schwachstelle zu beheben.
[Callforaction-THREAT-Footer]
Leave a Reply