GitLab cho biết: Lỗ hổng nghiêm trọng có định danh CVE-2024-9164, điểm CVSS là 9,6 được phát hiện trong GitLab EE ảnh hưởng đến tất cả các phiên bản từ 12.5 đến trước 17.2.9, từ 17.3 đến trước 17.3.5 và từ 17.4 đến trước 17.4.2.
Trong 07 lỗ hổng còn lại, 04 lỗ hổng được đánh giá ở mức cao, 02 lỗ hổng được đánh giá mức trung bình và một lỗ hổng được đánh giá mức thấp về độ nghiêm trọng. Các lỗ hổng mức cao gồm có:
- CVE-2024-8970 (điểm CVSS: 8,2), lỗ hổng cho phép kẻ tấn công kích hoạt pipeline với tư cách là người dùng khác trong một số trường hợp nhất định.
- CVE-2024-8977 (Điểm CVSS: 8,2), lỗ hổng cho phép tấn công SSRF trong các phiên bản GitLab EE với Bảng điều khiển phân tích sản phẩm (Product Analytics Dashboard) được cấu hình và bật.
- CVE-2024-9631 (Điểm CVSS: 7,5), lỗ hổng gây ra tình trạng chậm khi xem sự khác biệt giữa các yêu cầu hợp nhất có xung đột.
- CVE-2024-6530 (điểm CVSS: 7,3), lỗ hổng cho phép thực hiện tấn công HTML injection vào trang OAuth khi cấp quyền cho một ứng dụng mới.
Tháng 9, GitLab đã giải quyết một lỗ hổng nghiêm trọng khác (có định danh là CVE-2024-6678, điểm CVSS: 9,9) có thể cho phép kẻ tấn công thực thi các tác vụ pipeline với tư cách là người dùng tùy ý.
Trước đó, công ty này cũng đã vá 03 lỗi tương tự khác là CVE-2023-5009, CVE-2024-5655 và CVE-2024-6385 (cả ba đều có điểm CVSS: 9,6).
Mặc dù chưa có bằng chứng nào cho thấy lỗ hổng đang bị khai thác, người dùng được khuyến nghị cập nhật phiên bản mới nhất để được bảo vệ khỏi các mối đe dọa tiềm ẩn.
Hà Phương
08:00 | 22/07/2024
12:00 | 06/05/2024
08:00 | 26/09/2024
10:00 | 28/11/2024
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
11:00 | 03/09/2024
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024