Chyba v systému GitLab umožňuje útočníkům ovládnout účty

V systému GitLab byla opravena zranitelnost s vysokou závažností, kterou mohli neautentizovaní útočníci zneužít k převzetí uživatelských účtů pomocí XSS (cross-site scripting).

Chyba sledovaná jako CVE-2024-4835 je slabina XSS v editoru kódu VS (webové prostředí IDE).

Tuto zranitelnost sice mohou využít při útocích, které nevyžadují ověření, ale interakce uživatele je stále nutná, což zvyšuje složitost útoků.

"Dnes vydáváme verze 17.0.1, 16.11.3 a 16.10.6 pro GitLab Community Edition (CE) a Enterprise Edition (EE)," uvedl GitLab.

Na začátku tohoto měsíce varovala CISA, že útočníci nyní aktivně zneužívají další zranitelnost, kterou v lednu opravila společnost GitLab. Tato chyba zabezpečení s maximální závažností, sledovaná jako CVE-2023-7028, umožňuje neautentifikovaným útočníkům převzít kontrolu nad účty GitLab prostřednictvím obnovení hesla.