GitLab برای رفع یک نقص امنیتی مهم در سرویس خود اقدام کرده است که در صورت استفاده موفقیتآمیز از این آسیبپذیری، میتواند منجر به تصاحب حساب کاربری شود.
این نقص با شناسه ردیابی CVE-2022-1680 از لحاظ شدت دارای امتیاز CVSS 9.9 است و به صورت داخلی توسط شرکت کشف شده است.
این نقص امنیتی بر همه نسخههای GitLab Enterprise Edition (EE) از 11.10 قبل از 14.9.5، همه نسخههایی که از 14.10 تا قبل از 14.10.4 و همه نسخههایی که از 15.0 تا قبل از 15.0.1 شروع میشوند، تأثیر میگذارد.
GitLab گفت: وقتی گروه SAML SSO پیکربندی میشود، ویژگی SCIM (فقط در اشتراکهای Premium+ موجود است) به صاحب یک گروه Premium اجازه میدهد تا کاربران دلخواه را از طریق نامکاربری و ایمیل خود دعوت کند، سپس مهاجم آدرسهای ایمیل آن کاربران را از طریق SCIM به آدرس ایمیل خود تغییر دهد و در غیاب استفاده از 2FA آن حسابها را در اختیار بگیرد.
ارائهدهنده پلتفرم DevOps در گزارشی که در تاریخ 1 ژوئن 2022 منتشر شد، هشدار داد که با دستیابی به این آسیبپذیری، مهاجم میتواند نام نمایشی و نام کاربری حساب مورد نظر را نیز تغییر دهد.
همچنین در نسخههای 15.0.1، 14.10.4 و 14.9.5 هفت آسیبپذیری امنیتی دیگر توسط GitLab برطرف شده است که دو مورد از آنها دارای رتبه بالا، چهار مورد دارای رتبه متوسط و یک مورد دیگر از نظر شدت پایین هستند.
به کاربرانی که نسخه آسیبپذیر در برابر آسیبپذیریهای فوق را اجرا میکنند توصیه میشود در اسرع وقت به آخرین نسخه رسمی موجود ارتقا یابند.
این نقص با شناسه ردیابی CVE-2022-1680 از لحاظ شدت دارای امتیاز CVSS 9.9 است و به صورت داخلی توسط شرکت کشف شده است.
این نقص امنیتی بر همه نسخههای GitLab Enterprise Edition (EE) از 11.10 قبل از 14.9.5، همه نسخههایی که از 14.10 تا قبل از 14.10.4 و همه نسخههایی که از 15.0 تا قبل از 15.0.1 شروع میشوند، تأثیر میگذارد.
GitLab گفت: وقتی گروه SAML SSO پیکربندی میشود، ویژگی SCIM (فقط در اشتراکهای Premium+ موجود است) به صاحب یک گروه Premium اجازه میدهد تا کاربران دلخواه را از طریق نامکاربری و ایمیل خود دعوت کند، سپس مهاجم آدرسهای ایمیل آن کاربران را از طریق SCIM به آدرس ایمیل خود تغییر دهد و در غیاب استفاده از 2FA آن حسابها را در اختیار بگیرد.
ارائهدهنده پلتفرم DevOps در گزارشی که در تاریخ 1 ژوئن 2022 منتشر شد، هشدار داد که با دستیابی به این آسیبپذیری، مهاجم میتواند نام نمایشی و نام کاربری حساب مورد نظر را نیز تغییر دهد.
همچنین در نسخههای 15.0.1، 14.10.4 و 14.9.5 هفت آسیبپذیری امنیتی دیگر توسط GitLab برطرف شده است که دو مورد از آنها دارای رتبه بالا، چهار مورد دارای رتبه متوسط و یک مورد دیگر از نظر شدت پایین هستند.
به کاربرانی که نسخه آسیبپذیر در برابر آسیبپذیریهای فوق را اجرا میکنند توصیه میشود در اسرع وقت به آخرین نسخه رسمی موجود ارتقا یابند.