Thought Leadership
GitLab berichtet über eine schwerwiegende Sicherheitslücke, die es unbefugten Angreifern erlaubt, Benutzerkonten durch Ausnutzung einer Schwachstelle für Cross-Site-Scripting (XSS) Attacken zu übernehmen.
Die als CVE-2024-4835 gekennzeichnete Schwachstelle wurde im webbasierten Quellcode-Editor (Web IDE) ausgemacht. Über eigens manipulierte Seiten hätten Angreifer vertrauliche Informationen abgreifen können. Eine vorherige Authentifizierung war für die Ausnutzung nicht erforderlich, jedoch musste das Opfer auf die präparierten Inhalte zugreifen.
In einem Sicherheitsupdate gab GitLab bekannt: “Heute veröffentlichen wir die Versionen 17.0.1, 16.11.3 und 16.10.6 für die Community und Enterprise Edition. Diese Versionen enthalten wichtige Fehlerbehebungen und Sicherheitspatches, weshalb wir dringend empfehlen, alle GitLab Installationen umgehend zu aktualisieren.”
Gleichzeitig wurden sechs weitere mittelschwere Sicherheitslücken behoben, unter anderem eine Cross-Site Request Forgery Lücke im Kubernetes Agent Server (CVE-2023-7045) und eine Denial-of-Service Schwachstelle, die Angreifern das Blockieren von GitLab Webressourcen ermöglicht hätte (CVE-2024-2874).
GitLab ist ein beliebtes Ziel, da auf der Plattform vielfach sensible Daten wie API-Schlüssel und proprietäre Codes gehostet werden. Daher können kompromittierte Accounts für Angreifer enormen Schaden anrichten, einschließlich Supply-Chain-Attacken durch Manipulation der CI/CD-Umgebungen und Repositorys.
