GitLab, uma das principais plataformas para DevOps e integração contínua/entrega contínua (CI/CD), lançou atualizações de segurança críticas para as versões 17.4.2, 17.3.5 e 17.2.9 de suas edições Community Edition (CE) e Enterprise Edition (EE). Essas atualizações corrigem várias vulnerabilidades significativas, incluindo uma falha grave (CVE-2024-9164) que pode permitir que atacantes executem pipelines em ramificações arbitrárias, representando um risco sério para instâncias afetadas. A vulnerabilidade mais crítica, identificada como CVE-2024-9164, afeta todas as versões do GitLab Enterprise Edition a partir da versão 12.5.

Essa falha permite que atores mal-intencionados executem pipelines em ramificações arbitrárias, o que pode levar ao acesso não autorizado a dados e sistemas sensíveis. Com uma pontuação CVSS de 9.6, a falha é considerada de alta gravidade e exige ação imediata. Além dessa falha crítica, outras vulnerabilidades importantes também foram corrigidas. A CVE-2024-8970, por exemplo, permite que atacantes se façam passar por usuários arbitrários em circunstâncias específicas, resultando em ações não autorizadas e possíveis violações de dados.

Outra falha, a CVE-2024-8977, explora uma vulnerabilidade de Server-Side Request Forgery (SSRF) no painel de análises, possibilitando que invasores acessem recursos e serviços internos. A atualização também aborda a vulnerabilidade CVE-2024-9631, que causa lentidão ao visualizar diferenças de código em solicitações de mesclagem (merge requests) com conflitos, resultando em uma condição de negação de serviço (DoS). Já a CVE-2024-6530 trata de uma falha de cross-site scripting (XSS) na página OAuth, que poderia ser explorada para injetar scripts maliciosos e roubar dados dos usuários. Dada a gravidade das falhas e as possíveis implicações para a segurança das instâncias do GitLab, a empresa recomenda fortemente que todos os usuários atualizem seus sistemas imediatamente.