Уязвимость в GitLab, позволяющее запустить код при сборке в CI любого проекта
Дата публикации:Mon, 08 May 2023 09:16:33 +0300
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 15.11.2, 15.10.6 и 15.9.7, в которых устранена критическая уязвимость (CVE-2023-2478), позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере. Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=59098