Severity: Critical

CVSS v3 Score: 9.6

Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Mô tả:

Phòng SOC thông báo về lỗ hổng vượt qua xác thực, định danh CVE-2023-5009

CVE-2023-5009 là một lỗ hổng nghiêm trọng cho phép kẻ tấn công công thực thi pipeline dưới danh nghĩa của người dùng bất kỳ bằng cách lợi dụng chính sách quét bảo mật theo lịch trình.

Sản phẩm bị ảnh hưởng:

Lỗ hổng này ảnh hưởng đến các phiên bản GitLab EE từ 13.12 đến 16.2.7, và từ 16.3 đến 16.3.4. Các phiên bản GitLab CE không bị ảnh hưởng.

Cách khắc phục:

GitLab đã vá lỗi này trong các phiên bản mới nhất là 16.3.4 cho CE và 16.2.7 cho EE. Nâng cấp lên các phiên bản này là cách tốt nhất để ngăn chặn lỗ hổng.

Nếu bạn đang chạy một phiên bản trước 16.2, bạn có thể tắt tính năng ‘Direct Transfers’ hoặc ‘Security Policies’ để giảm thiểu rủi ro.

Thông tin chi tiết, tham khảo thêm tại:

GitLab's Critical Security Update: What You Need to Know (CVE-2023-5009) (socradar.io)
https://www.helpnetsecurity.com/2023/09/22/cve-2023-5009/
NVD - CVE-2023-5009 (nist.gov)

CVE-2023-5009- A Critical Vulnerability in GitLab Scan Execution Policies