Waarschuwing - Kritieke GitLab kwetsbaarheid kan aanvallers toelaten om Runner registratie tokens te stelen
|
CVE-2022-0735 |
Bronnen
Gitlab: https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
Risico’s
Ongepatchte versies van Gitlab CE/EE zijn kwetsbaar voor het openbaar maken van informatie door gebruik te maken van quick actions commando's, waardoor een ongeautoriseerde gebruiker loperregistratietokens kan stelen.
Beschrijving
Er is een probleem ontdekt in GitLab CE/EE dat alle versies voorafgaand aan 14.8.2, 14.7.4, en 14.6.5 beïnvloedt.
Dit informatie openbaar maken van een kwetsbaarheid stelt een onbevoegde gebruiker in staat om runner registratie tokens te stelen met behulp van quick actions commando's.
Deze kwetsbaarheid werd aan Gitlab onthuld via het HackerOne bug bounty programma.
Gitlab heeft versies 14.8.2, 14.7.4, en 14.6.5 uitgebracht voor zowel de Community Editie als de Enterprise Editie, welke tevens dient als de maandelijkse beveiligingsrelease voor februari.
Aanbevolen acties
Gitlab raadt ten sterkste aan dat alle GitLab installaties onmiddellijk naar een van deze versies worden geüpgrade.