GitLab pada hari Rabu merilis pembaruan keamanan untuk mengatasi 17 kerentanan keamanan, termasuk kelemahan kritis yang memungkinkan penyerang menjalankan pekerjaan pipeline sebagai pengguna sembarangan.
Masalah ini, yang dilacak sebagai CVE-2024-6678, memiliki skor CVSS 9,9 dari maksimum 10,0
“Sebuah masalah ditemukan di GitLab CE/EE yang memengaruhi semua versi mulai dari 8.14 sebelum 17.1.7, mulai dari 17.2 sebelum 17.2.5, dan mulai dari 17.3 sebelum 17.3.2, yang memungkinkan penyerang untuk memicu jalur pipa sebagai pengguna sembarangan dalam keadaan tertentu,” kata perusahaan itu dalam sebuah peringatan.
Kerentanan tersebut, bersama dengan tiga bug dengan tingkat keparahan tinggi, 11 bug dengan tingkat keparahan sedang, dan dua bug dengan tingkat keparahan rendah, telah diatasi dalam versi 17.3.2, 17.2.5, 17.1.7 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE).
Perlu dicatat bahwa CVE-2024-6678 adalah kelemahan keempat yang telah ditambal oleh GitLab selama setahun terakhir setelah CVE-2023-5009 (skor CVSS: 9,6), CVE-2024-5655 (skor CVSS: 9,6), dan CVE-2024-6385 (skor CVSS: 9,6).
Meskipun tidak ada bukti eksploitasi aktif terhadap kelemahan tersebut, pengguna disarankan untuk menerapkan perbaikan sesegera mungkin guna mengurangi risiko terhadap ancaman potensial.
Awal bulan Mei ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) mengungkapkan bahwa kerentanan GitLab kritis (CVE-2023-7028, skor CVSS: 10.0) telah dieksploitasi secara aktif di alam liar.