آسیبپذیری افشای اطلاعات در GitLab Community Edition
۱۴۰۴/۱۰/۲ - ۱۸:۳۰
یک آسیبپذیری امنیتی با شناسه CVE-2024-4994 در GitLab Community Edition شناسایی شده است که به مهاجمان اجازه میدهد بدون داشتن سطح دسترسی مجاز، به اطلاعات حساس پروژهها دسترسی پیدا کنند. این آسیبپذیری به دلیل پیادهسازی نادرست کنترل دسترسی در بخش پردازش درخواستهای API ایجاد شده است.
در سناریوهای سوءاستفاده، مهاجم میتواند اطلاعاتی نظیر نام پروژهها، مسیرهای داخلی، تنظیمات CI/CD و در برخی موارد متادیتای کاربران را استخراج کند. این مسئله میتواند به شناسایی ساختار داخلی سامانه و برنامهریزی حملات هدفمند بعدی منجر شود.
توصیه امنیتی:
به مدیران سامانه GitLab توصیه میشود نسخه نرمافزار را به آخرین نسخه اصلاحشده ارتقا داده و دسترسی API را تنها به کاربران مجاز محدود نمایند.
