GitLab, kullanıcıları GitLab Enterprise Edition örneklerine kritik bir güvenlik açığına karşı yama yapmaları konusunda uyarıyor.
Kuruluş, tavsiye belgesinde, CVE-2023-5009 tanımlayıcısı göz önüne alındığında, güvenlik açığının, bir saldırganın yazılımın planlanmış güvenlik tarama ilkelerini “keyfi bir kullanıcı olarak ardışık düzenleri çalıştırmak” için kötüye kullanmasına izin verdiğini söyledi.
Güvenlik açığının ortak güvenlik açığı puanlama sistemi (CVSS) puanı 9,8’dir.
Bir örnek iki özelliğin etkinleştirilmiş olması durumunda saldırıya açıktır: doğrudan aktarımlar ve güvenlik politikaları.
Doğrudan aktarımlar, grupların ve projelerin doğrudan aktarım yoluyla geçişini sağlayan bir özelliktir; güvenlik politikaları ise planlamaya göre veya bir projenin işlem hattı içinde yürütülen taramaları destekler.
Yükseltme yapamayan kullanıcıların bu özellikleri devre dışı bırakmaları önerilir.
Güvenlik açığı, “13.12’den 16.2.7’ye kadar olan tüm sürümleri ve 16.3’ten 16.3.4’ten önce başlayan tüm sürümleri” etkilemektedir.
GitLab’ın tavsiyesi, hatanın, CVSS puanı 6,5 olan ve Ağustos ayında yamalanan, neredeyse aynı bir önceki güvenlik açığı olan CVE-2023-3932’ye yönelik bir yamanın atlanmasından kaynaklandığını belirtti.
En son hata, Johan Carlsson (joaxcar) tarafından HackerOne aracılığıyla bildirildi.