Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab — 17.3.2, 17.2.5 и 17.1.7, в которых устранено 17 уязвимостей. Одной уязвимости присвоен критический уровень опасности (9.9 из 10), 3 — высокий, 11 — умеренный и 2 — низкий. Критическая уязвимость (CVE-2024-6678) позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под другим пользователем, что даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя.

Сведения об уязвимости переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления.

Источник: http://www.opennet.ru/opennews/art.shtml?num=61851