Lỗ hổng nghiêm trọng có mã định danh CVE-2024-0402 với điểm CVSS là 9,9. GitLab cho biết vào ngày 25/01/2024: “Một sự cố được phát hiện trong GitLab CE/EE, ảnh hưởng đến tất cả các phiên bản từ 16.0 đến trước 16.5.8, 16.6 đến trước 16.6.6, 16.7 đến trước 16.7.4 và 16.8 đến trước 16.8.1. Lỗ hổng này cho phép người dùng đã được xác thực ghi các tệp tại các vị trí tùy ý trên máy chủ GitLab trong khi tạo một workspace”.
GitLab lưu ý rằng các bản vá lỗi đã được cung cấp trong các phiên bản 16.5.8, 16.6.6, 16.7.4 và 16.8.1. Cùng với đó, GitLab cũng giải quyết bốn lỗ hổng có mức độ quan trọng, có thể cho phép tấn công từ chối dịch vụ, HTML injection hoặc dẫn đến rò rỉ địa chỉ email công khai của người dùng qua nguồn cấp dữ liệu RSS của thẻ.
Bản vá mới nhất được phát hành hai tuần sau khi GitLab đưa ra các bản vá cho hai lỗ hổng nghiêm trọng được phát hiện trước đó, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng (CVE-2023-7028, điểm CVSS: 10.0).
Người dùng cần khẩn trương cập nhật để giảm thiểu các rủi ro tiềm ẩn.
Bá Phúc
(Theo thehackernews.com)
07:00 | 17/01/2024
09:00 | 05/06/2023
13:00 | 12/06/2024
17:00 | 17/11/2021
08:00 | 12/03/2024
12:00 | 06/05/2024
13:00 | 28/08/2024
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024