GitLab แก้ไขช่องโหว่ระดับ Critical ใน GitLab CE และ GitLab EE

325/67 (IT) ประจำวันจันทร์ที่ 16 กันยายน 2567

GitLab ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่จำนวน 17 รายการใน GitLab CE (Community Edition) และ EE (Enterprise Edition) โดยมีหนึ่งในช่องโหว่มีความรุนแรงระดับ Critical ที่หมายเลข CVE-2024-6678 (คะแนน CVSS 9.9) ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งาน Pipeline แทนผู้ใช้งานรายอื่นได้ ช่องโหว่ดังกล่าวได้ส่งผลกระทบต่อหลายเวอร์ชัน และได้รับการแก้ไขแล้วในเวอร์ชันล่าสุด และอีกหนึ่งช่องโหว่ที่มีความรุนแรง High ที่หมายเลข CVE-2024-8640 (คะแนน CVSS 8.5) ซึ่งพบใน GitLab EE ทำให้ผู้โจมตีสามารถ inject commands ไปยังเซิร์ฟเวอร์ Cube ที่เชื่อมต่อได้

นอกจากนี้ GitLab ยังได้แก้ไขช่องโหว่ระดับกลางและต่ำหลายรายการ เช่น การยกระดับสิทธิ์ การเข้าถึงโค้ด source code โดยไม่ได้รับอนุญาต และการขโมย token ซึ่งทั้งหมดนี้มีการแก้ไขในเวอร์ชันล่าสุดของ GitLab แล้ว

แหล่งข่าว https://securityaffairs.com/168375/security/gitlab-ce-ee-critical-issue.html