GitLab phát hành bản cập nhật khẩn cấp cho lỗ hổng nghiêm trọng

09:00 | 05/06/2023 | LỖ HỔNG ATTT

Mới đây, GitLab đã phát hành bản cập nhật khẩn cấp, phiên bản 16.0.1 cho GitLab Community Edition (CE) và Enterprise Edition (EE) để giải quyết lỗ hổng nghiêm trọng trong phiên bản 16.0.0 có điểm CVSS 10/10.

GitLab phát hành bản cập nhật khẩn cấp cho lỗ hổng nghiêm trọng

Lỗ hổng định danh CVE-2023-2825 là lỗ hổng truyền tải đường dẫn (path traversal), cho phép người dùng không xác thực đọc các tệp tùy ý trên máy chủ. Trong các trường hợp cụ thể, khi có tệp đính kèm tồn tại trong một project công khai được lưu trữ trong ít nhất năm nhóm, kẻ tấn công có thể khai thác lỗ hổng để truy cập dữ liệu nhạy cảm của người dùng.

Lỗ hổng được phát hiện và báo cáo thông qua chương trình Bug Bounty HackerOne của GitLab bởi một hacker có tên “pwnie”. Nhóm GitLab đã nhanh chóng phản hồi, đưa ra một bản vá với phiên bản cập nhật mới 16.0.1.

Mặc dù chỉ ảnh hưởng tới phiên bản 16.0.0 của GitLab CE/EE, lỗ hổng vẫn có tác động nghiêm trọng. Kẻ tấn công khai thác CVE-2023-2825 có khả năng truy cập và lấy các tệp dữ liệu nhạy cảm từ máy chủ. Các dữ liệu có thể bao gồm mã nguồn độc quyền, dữ liệu nhạy cảm của người dùng và các chi tiết cấu hình quan trọng có thể được sử dụng thêm để thỏa hiệp hệ thống quan trọng hơn.

Hơn nữa, lỗ hổng không yêu cầu bất kỳ xác thực nào, làm tăng khả năng khai thác của kẻ tấn công. Do mức độ nghiêm trọng của lỗ hổng, GitLab khuyến cáo người dùng nâng cấp các cài đặt GitLab đang chạy trên phiên bản 16.0.0 lên 16.0.1.

Phong Thu

‹ › ×

Tin liên quan

Nền tảng DevOps GitLab vá lỗ hổng thực thi mã từ xa nghiêm trọng

15:00 | 29/08/2022

Nền tảng DevOps GitLab vừa phát hành các bản vá cho lỗ hổng thực thi mã từ xa nghiêm trọng ảnh hưởng đến GitLab Community Edition (CE) và Enterprise Edition (EE).

GitLab phát hành bản vá cho lỗ hổng nghiêm trọng

08:00 | 13/06/2022

GitLab vừa vá một lỗ hổng nghiêm trọng định danh CVE-2022-1680. Đáng lưu ý, nếu khai thác thành công lỗ hổng, tin tặc có thể tấn công chiếm quyền tài khoản.

Lỗ hổng thực thi mã từ xa trong GitLab bị tin tặc khai thác

17:00 | 17/11/2021

Mới đây, lỗ hổng thực thi mã từ xa định danh CVE-2021-22205 có mức độ nghiêm trọng được vá trong giao diện web của GitLab đã ghi nhận bị tin tặc khai thác trong thực tế.

Tin cùng chuyên mục

WormGPT: Công cụ AI mới cho phép tin tặc thực hiện các cuộc tấn công lừa đảo

09:00 | 01/08/2023

Các nhà nghiên cứu công ty an ninh mạng SlashNext mới đây đã đưa ra cảnh báo về những mối nguy hiểm liên quan đến một công cụ tội phạm mạng AI thế hệ mới có tên là “WormGPT”, được quảng cáo trên các diễn đàn ngầm như một công cụ hoàn hảo để thực hiện các chiến dịch tấn công lừa đảo tinh vi và thỏa hiệp email doanh nghiệp (BEC).

Tin tặc tấn công trang web của Quốc hội Thụy Điển

17:00 | 05/05/2023

Theo thông báo của Quốc hội Thụy Điển, trang web của cơ quan này đã bị tấn công mạng gây ra tình trạng gián đoạn truy cập.

Phần mềm lừa đảo bằng giọng nói FakeCalls nhắm mục tiêu người dùng Hàn Quốc

08:00 | 04/04/2023

Một chiến dịch tấn công bằng phần mềm độc hại sử dụng giọng nói trên Android được gọi là FakeCalls đã một lần nữa hoạt động để nhằm mục tiêu đến người dùng Hàn Quốc dưới vỏ bọc của hơn 20 ứng dụng tài chính phổ biến.

Gần 8 triệu số giấy phép lái xe, số hộ chiếu và hồ sơ khách hàng bị đánh cắp ở Australia và New Zealand

11:00 | 31/03/2023

Ngày 27/3, công ty tài chính tiêu dùng Úc Latitude Holdings cho biết, tin tặc đã đánh cắp gần 8 triệu số giấy phép lái xe của Australia và New Zealand trong một vụ vi phạm dữ liệu quy mô lớn.