Не ждите, пока ваш аккаунт взломают: CVE-2024-4835 касается каждого разработчика

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.

GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS-атаки.

«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».

Основная проблема с рейтингом 8.0 баллов по шкале CVSS, зарегистрированная как CVE-2024-4835, представляет собой XSS-уязвимость в редакторе кода VS (Web IDE). С её помощью злоумышленники могут похищать конфиденциальную информацию, используя специально созданные для этого страницы. Хотя для эксплуатации данной уязвимости не требуется аутентификация, взаимодействие с пользователем всё ещё необходимо, что несколько усложняет проведение атаки.

Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( CVE-2023-7045 ) и уязвимость отказа в обслуживании, позволяющую нарушителям нарушать загрузку веб-ресурсов GitLab ( CVE-2024-2874 ).

В России и ищешь VPN? Покупай через Телеграмм-бот:

С полным перечнем уязвимости и их подробным описанием можно ознакомиться по данной ссылке.

GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.

Ранее в этом месяце агентство CISA предупредило, что злоумышленники активно эксплуатируют ещё одну уязвимость в GitLab, позволяющую захватывать учётные записи без взаимодействия с пользователем.

  Легальные права за три дня? Заманчивое предложение, которое обернется кошмаром

Зарегистрированная как CVE-2023-7028, данная брешь имеет максимальный уровень опасности (10.0 по CVSS) и позволяет неаутентифицированным злоумышленникам захватывать учётные записи GitLab через сброс пароля.

Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий