GitLab برای رفع یک نقص امنیتی مهم در سرویس خود اقدام کرده است که اگر با موفقیت مورد بهرهبرداری قرار گیرد، میتواند منجر به تصاحب حساب کاربری شود.
این مشکل با شناسه CVE-2022-1680 دارای امتیاز ۹/۹ در مقیاسCVSS است و توسط این شرکت کشف شده است. این نقص امنیتی بر همه نسخههای GitLab Enterprise Edition (EE) از ۱۱٫۱۰ تا قبل از ۱۴٫۹٫۵، همه نسخههای از ۱۴٫۱۰ تا قبل از ۱۴٫۱۰٫۴ و همه نسخههای از ۱۵٫۰ تا قبل از ۱۵٫۰٫۱ تأثیر میگذارد.
GitLab دراینباره گفت [۱]: “هنگامیکه گروه SAML SSO پیکربندی میشود، ویژگی SCIM (فقط در اشتراکهای Premium+ موجود است) ممکن است به هر صاحب یک گروه Premium اجازه دهد تا کاربران دلخواه را از طریق نام کاربری و ایمیل خود دعوت کند، سپس آدرسهای ایمیل آن کاربران را از طریق SCIM به ایمیل کنترلشده توسط مهاجم تغییر دهد.”
ارائهدهنده پلتفرم DevOps در توصیهای که در تاریخ ۱ ژوئن ۲۰۲۲ منتشر شد، هشدار داد که با دستیابی به این، یک مهاجم مخرب میتواند نام نمایشی و نام کاربری حساب موردنظر را نیز تغییر دهد.
همچنین توسط این شرکت در نسخههای ۱۵٫۰٫۱، ۱۴٫۱۰٫۴ و ۱۴٫۹٫۵ هفت آسیبپذیری امنیتی دیگر حل شده است که دو مورد از آنها دارای رتبه بالا، چهار مورد دارای رتبه متوسط و یکی ازنظر شدت پایین هستند.
به کاربرانی که نسخههای آسیبدیده فوقالذکر را اجرا میکنند، توصیه میشود در اسرع وقت به آخرین نسخه ارتقا دهند.
منابع
[۱] https://about.gitlab.com/releases/2022/06/01/critical-security-release-gitlab-15-0-1-released
[۲] https://thehackernews.com/2022/06/gitlab-issues-security-patch-for.html
ثبت ديدگاه