Recent, GitLab a emis un avertisment de securitate privind multiple vulnerabilități cu risc crescut în platforma sa DevOps. Problemele identificate includ două vulnerabilități critice de tip Cross-Site Scripting (XSS), care permit atacatorilor să ocolească controalele de securitate și să execute scripturi malițioase în browserele utilizatorilor.
Pe scurt
- Două vulnerabilități XSS critice găsite în GitLab
- Potențial de deturnare a sesiunilor și furt de date de autentificare
- GitLab a emis soluții de remediere pentru versiunile afectate
- Utilizatorii trebuie să actualizeze urgent la versiunile patch-uite
Informații detaliate despre vulnerabilitățile GitLab
Vulnerabilitățile din GitLab, identificate ca CVE-2025-0475 și CVE-2025-0555, afectează instanțele autogestionate, facilitând scenarii de exploatare precum deturnarea sesiunilor și acces neautorizat.
Vulnerabilitatea critică Kubernetes Proxy
Vulnerabilitatea de severitate ridicată XSS, afectează endpoint-ul Kubernetes proxy din GitLab, și este prezentă în toate versiunile de la 15.10 la 17.9.0. Atacatorii pot injecta payload-uri JavaScript malițioase prin răspunsuri proxy nesecurizate, conducând la atacuri XSS bazate pe DOM.
Vulnerabilitatea Maven Dependency Proxy XSS
O altă vulnerabilitate XSS afectează versiunile GitLab-EE 16.6 până la 17.9.0. Aceasta permite ocolirea restricțiilor Content Security Policy prin fișiere de metadate de dependență special construite ce conțin payload-uri JavaScript.
Măsuri de protecție
Pentru a vă proteja împotriva acestor tipuri de vulnerabilități, este esențial să mențineți software-ul actualizat și să aplicați patch-uri imediat ce sunt disponibile. De asemenea, implementarea de politici stricte de securitate și utilizarea unui program de bug bounty pot contribui semnificativ la minimizarea riscurilor.
Avem nevoie de un răspuns rapid pentru protecția infrastructurii
Toate organizațiile care utilizează versiuni afectate de GitLab sunt sfătuite să trateze această problemă ca o actualizare critică de infrastructură. Întârzierea aplicării patch-urilor expune sistemele la riscuri marcante, dată fiind existența unui cod de tip proof-of-concept disponibil pe forumuri underground.
Sursa articolului:
https://cybersecuritynews.com/gitlab-vulnerabilities-bypass-security-controls/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
