Lỗ hổng nghiêm trọng có mã định danh CVE-2024-0402 với điểm CVSS là 9,9. GitLab cho biết vào ngày 25/01/2024: “Một sự cố được phát hiện trong GitLab CE/EE, ảnh hưởng đến tất cả các phiên bản từ 16.0 đến trước 16.5.8, 16.6 đến trước 16.6.6, 16.7 đến trước 16.7.4 và 16.8 đến trước 16.8.1. Lỗ hổng này cho phép người dùng đã được xác thực ghi các tệp tại các vị trí tùy ý trên máy chủ GitLab trong khi tạo một workspace”.
GitLab lưu ý rằng các bản vá lỗi đã được cung cấp trong các phiên bản 16.5.8, 16.6.6, 16.7.4 và 16.8.1. Cùng với đó, GitLab cũng giải quyết bốn lỗ hổng có mức độ quan trọng, có thể cho phép tấn công từ chối dịch vụ, HTML injection hoặc dẫn đến rò rỉ địa chỉ email công khai của người dùng qua nguồn cấp dữ liệu RSS của thẻ.
Bản vá mới nhất được phát hành hai tuần sau khi GitLab đưa ra các bản vá cho hai lỗ hổng nghiêm trọng được phát hiện trước đó, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng (CVE-2023-7028, điểm CVSS: 10.0).
Người dùng cần khẩn trương cập nhật để giảm thiểu các rủi ro tiềm ẩn.
Bá Phúc
(Theo thehackernews.com)
07:00 | 17/01/2024
09:00 | 05/06/2023
08:00 | 12/03/2024
17:00 | 17/11/2021
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024