Lỗ hổng nghiêm trọng có mã định danh CVE-2024-0402 với điểm CVSS là 9,9. GitLab cho biết vào ngày 25/01/2024: “Một sự cố được phát hiện trong GitLab CE/EE, ảnh hưởng đến tất cả các phiên bản từ 16.0 đến trước 16.5.8, 16.6 đến trước 16.6.6, 16.7 đến trước 16.7.4 và 16.8 đến trước 16.8.1. Lỗ hổng này cho phép người dùng đã được xác thực ghi các tệp tại các vị trí tùy ý trên máy chủ GitLab trong khi tạo một workspace”.
GitLab lưu ý rằng các bản vá lỗi đã được cung cấp trong các phiên bản 16.5.8, 16.6.6, 16.7.4 và 16.8.1. Cùng với đó, GitLab cũng giải quyết bốn lỗ hổng có mức độ quan trọng, có thể cho phép tấn công từ chối dịch vụ, HTML injection hoặc dẫn đến rò rỉ địa chỉ email công khai của người dùng qua nguồn cấp dữ liệu RSS của thẻ.
Bản vá mới nhất được phát hành hai tuần sau khi GitLab đưa ra các bản vá cho hai lỗ hổng nghiêm trọng được phát hiện trước đó, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng (CVE-2023-7028, điểm CVSS: 10.0).
Người dùng cần khẩn trương cập nhật để giảm thiểu các rủi ro tiềm ẩn.
Bá Phúc
(Theo thehackernews.com)
07:00 | 17/01/2024
09:00 | 05/06/2023
13:00 | 12/06/2024
17:00 | 17/11/2021
08:00 | 12/03/2024
12:00 | 06/05/2024
10:00 | 23/08/2024
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
13:00 | 17/06/2024
Các nhà nghiên cứu Công ty bảo mật đám mây Wiz (Mỹ) phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong dịch vụ trí tuệ nhân tạo (AI) có thể cho phép các tác nhân đe dọa truy cập vào các mô hình AI độc quyền và lấy các thông tin nhạy cảm.
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
07:00 | 10/09/2024