Lỗ hổng nghiêm trọng có mã định danh CVE-2024-0402 với điểm CVSS là 9,9. GitLab cho biết vào ngày 25/01/2024: “Một sự cố được phát hiện trong GitLab CE/EE, ảnh hưởng đến tất cả các phiên bản từ 16.0 đến trước 16.5.8, 16.6 đến trước 16.6.6, 16.7 đến trước 16.7.4 và 16.8 đến trước 16.8.1. Lỗ hổng này cho phép người dùng đã được xác thực ghi các tệp tại các vị trí tùy ý trên máy chủ GitLab trong khi tạo một workspace”.
GitLab lưu ý rằng các bản vá lỗi đã được cung cấp trong các phiên bản 16.5.8, 16.6.6, 16.7.4 và 16.8.1. Cùng với đó, GitLab cũng giải quyết bốn lỗ hổng có mức độ quan trọng, có thể cho phép tấn công từ chối dịch vụ, HTML injection hoặc dẫn đến rò rỉ địa chỉ email công khai của người dùng qua nguồn cấp dữ liệu RSS của thẻ.
Bản vá mới nhất được phát hành hai tuần sau khi GitLab đưa ra các bản vá cho hai lỗ hổng nghiêm trọng được phát hiện trước đó, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng (CVE-2023-7028, điểm CVSS: 10.0).
Người dùng cần khẩn trương cập nhật để giảm thiểu các rủi ro tiềm ẩn.
Bá Phúc
(Theo thehackernews.com)
07:00 | 17/01/2024
09:00 | 05/06/2023
08:00 | 12/03/2024
17:00 | 17/11/2021
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024