A GitLab ismét javításokat adott ki a Community Edition (CE) és Enterprise Edition (EE) kritikus biztonsági hibájának kezelésére, amely a munkaterület létrehozása során kihasználható tetszőleges fájlok írására.
A GitLab CE/EE-ben olyan hibát fedeztek fel, amely a 16.0 és a 16.5.8 előtti, a 16.6 és a 16.6.6 előtti, a 16.7 és a 16.7.4 előtti, valamint a 16.8 és a 16.8.1 előtti verziókat érinti, és amely lehetővé teszi egy hitelesített felhasználó számára, hogy munkaterület létrehozása közben fájlokat írjon tetszőleges helyre a GitLab szerveren. A CVE-2024-0402 néven nyomon követett sebezhetőség CVSS pontszáma 9,9 a maximális 10-ből.
A hiba javításait a 16.5.8, 16.6.6, 16.7.4 és 16.8.1 verzióra is alkalmazták.
A GitLab négy közepes súlyosságú hibát is orvosolt, amelyek regular expression denial-of-service (ReDoS), HTML injekcióhoz és a felhasználó nyilvános e-mail címének felfedéséhez vezethetnek az RSS feed tag-eken keresztül.
A legújabb frissítés két héttel azután érkezett, hogy a platform két kritikus hiányosságot javított, köztük egy olyan hibát, amely felhasználói beavatkozás nélkül fiókok átvételére használható ki (CVE-2023-7028, CVSS pontszám: 10.0).
A lehetséges kockázatok csökkentése érdekében felhasználóknak javasolt a lehető leghamarabb frissíteni a javított verziókra. A GitLab.com és a GitLab Dedicated környezetekben már a legújabb verzió fut.
