GitLab baru saja merilis pembaruan keamanan pada hari Rabu untuk mengatasi 17 kerentanan keamanan, termasuk satu kerentanan kritis yang memungkinkan penyerang menjalankan pipeline jobs sebagai pengguna sembarangan tanpa izin.
Masalah ini, yang dilacak sebagai CVE-2024-6678, memiliki skor CVSS sebesar 9.9 dari maksimum 10.0.
“Ditemukan masalah pada GitLab CE/EE yang memengaruhi semua versi mulai dari 8.14 hingga 17.1.7, 17.2 hingga 17.2.5, dan 17.3 hingga 17.3.2. Kerentanan ini memungkinkan penyerang memicu pipeline sebagai pengguna sembarangan dalam situasi tertentu,” jelas GitLab dalam peringatan resminya.
Kerentanan ini, bersama dengan tiga kerentanan berperingkat tinggi, 11 dengan peringkat menengah, dan dua dengan peringkat rendah, telah diperbaiki dalam versi 17.3.2, 17.2.5, dan 17.1.7 untuk GitLab Community Edition (CE) dan Enterprise Edition (EE).
Perlu dicatat bahwa CVE-2024-6678 adalah kerentanan keempat serupa yang diperbaiki oleh GitLab sepanjang tahun lalu setelah CVE-2023-5009 (skor CVSS: 9.6), CVE-2024-5655 (skor CVSS: 9.6), dan CVE-2024-6385 (skor CVSS: 9.6).
Meskipun belum ada bukti eksploitasi aktif dari kerentanan ini, pengguna disarankan untuk segera mengaplikasikan patch tersebut guna mencegah ancaman potensial.
Pada bulan Mei lalu, U.S. Cybersecurity and Infrastructure Security Agency (CISA) mengungkapkan bahwa kerentanan kritis GitLab (CVE-2023-7028, skor CVSS: 10.0) telah dieksploitasi secara aktif di alam liar.