GitLab ออกแพตช์ช่องโหว่ความรุนแรงสูง ทำให้ผู้โจมตีสามารถรัน GitLab Pipeline ของผู้ใช้งานอื่นได้ ผู้ดูแลระบบควรแพตช์ทันที
ช่องโหว่ CVE-2024-6385 มีความรุนแรงตาม CVSS ระดับ 9.6 หรือระดับ Critical ทำให้ผู้โจมตีสามารถสั่งการทำงานของ GitLab Pipeline หรือระบบ CI/CD ของผู้ใช้งานรายอื่นในระบบได้ ซึ่งอาจนำไปสู่การรั่วไหลของซอร์สโค้ด หรือการโจมตีแบบ Supply Chain Attack ได้ ช่องโหว่ดังกล่าวกระทบ GitLab CE/EE เวอร์ชัน 15.8 ถึง 16.11.6, 17.0 ถึง 17.0.4 และ 17.1 ถึง 17.1.2
GitLab ได้เตือนให้ผู้ดูแลระบบควรทำการแพตช์ทันทีเนื่องจากเป็นช่องโหว่ที่มีความเสี่ยงสูง โดยสามารถอัปเดตไปใช้งาน GitLab Community และ Enterprise เวอร์ชัน 17.1.2, 17.0.4 และ 16.11.6 เพื่ออุดช่องโหว่ได้แล้ว ส่วน GitLab.com และ GitLab Dedicated นั้นได้รับการแพตช์เป็นที่เรียบร้อยแล้ว
ที่ผ่านมา GitLab ได้มีการออกแพตช์ช่องโหว่ความรุนแรงสูงหลายตัว เช่น CVE-2024-5655 ถูกแพตช์ในเดือนมิถุนายน ซึ่งเป็นช่องโหว่ที่คล้ายกัน, CVE-2024-4835 ช่องโหว่ Cross-site scripting นอกจากนี้ เมื่อเดือนพฤษภาคม CISA ยังมีการประกาศเตือนถึงช่องโหว่ Zero-click บน GitLab ที่ถูกมุ่งเป้าโจมตีอีกด้วย
ที่มา: Bleeping Computer