کمیته رکن چهارم – آسیبپذیری در GitLab به مهاجمان اجازه ایجاد یک صفحه مخرب میدهد تا از طریق ان اطلاعات قربانیان خود را به سرقت ببرند.
آسیبپذیری با شناسه CVE-2024-4835 و شدت بالا (۸٫۸) در GitLab(CE & EE) کشف و شناسایی شده است که طبق بررسیهای صورت گرفته این نقص یک آسیبپذیری XSS است. مهاجمان میتوانند با بهرهبرداری از این نقص برای ایجاد یک صفحه مخرب استفاده کنند و اطلاعات حساس کاربران را به سرقت ببرند. این آسیبپذیری بهطور خاص بر ویرایشگر کد در GitLab تأثیر میگذارد و به طور بالقوه به مهاجمان اجازه میدهد تا حسابهای کاربری را تصاحب کنند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه خاصی بوده و بهراحتی قابل تکرار نیست و به شرایط خاصی نیاز است(AC:H)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارد (UL:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:N).
نسخههای ۱۵٫۱۱ تا ۱۶٫۱۰٫۶ ،۱۶٫۱۱ تا ۱۶٫۱۱٫۳ و۱۷٫۰ تا ۱۷٫۰٫۱ تحت تأثیر این آسیبپذیری هستند که برای برخی از آنها وصلههایی منتشر شده است. کارشناسان توصیه میکنند که کاربران از نسخههای وصلهشده ۱۶٫۱۰٫۶ ، ۱۶٫۱۱٫۳ و ۱۷٫۰٫۱ استفاده کنند.
منبع: افتانا
