کشف آسیبپذیری در GitLab
- سه شنبه, ۸ خرداد ۱۴۰۳، ۰۲:۴۵ ب.ظ
به تازگی یک آسیبپذیری با شناسه CVE-2024-4835 و شدت بالا (8.8) در GitLab(CE & EE) کشف و شناسایی شده است. طبق بررسیهای صورت گرفته این نقص یک آسیبپذیری XSS میباشد. مهاجمان میتوانند با بهرهبرداری از این نقص برای ایجاد یک صفحه مخرب استفاده کنند و اطلاعات حساس کاربران را به سرقت ببرند. این آسیبپذیری بهطور خاص بر ویرایشگر کد در GitLab تأثیر میگذارد و به طور بالقوه به مهاجمان اجازه میدهد تا حسابهای کاربری را تصاحب کنند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). همچنین نیازمند پیشزمینه خاصی بوده و بهراحتی قابل تکرار نیست و به شرایط خاصی نیاز دارد(AC:H). ضمنا برای انجام حمله علیه حساب کاربری به سطح دسترسی خاصی نیاز نیست (PR: N) و فقط به تعامل کاربر نیاز دارد (UL:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:N).
محصولات تحت تأثیر
این آسیبپذیری نسخههای 7.8 تا 16.9.6، از 16.10 تا 16.10.4 و از 16.11 تا 16.11.1 را تحت تأثیر قرار میدهد.