O GitLab, uma das plataformas de DevOps mais populares, lançou uma atualização de segurança que corrige várias vulnerabilidades críticas, incluindo falhas na funcionalidade de importação e outros recursos centrais. As versões 17.7.1, 17.6.3 e 17.5.5 já estão disponíveis para download e atualização imediata, e o GitLab recomenda que os administradores realizem a atualização o quanto antes.
As falhas foram identificadas por meio do programa de recompensas por bugs do GitLab no HackerOne e incluem uma série de vulnerabilidades graves, como as identificadas nos códigos CVE-2024-5655, CVE-2024-6385, CVE-2024-6678 e CVE-2024-8970. Essas falhas estavam relacionadas à funcionalidade de importação, que foi completamente reformulada para resolver os problemas de segurança e evitar futuras explorações.
Entre as mudanças implementadas, o novo sistema de mapeamento de contribuições permite que administradores atribuam contribuições e associações importadas após o término do processo, garantindo maior controle. O mapeamento também foi adaptado para não depender mais de endereços de e-mail, aumentando a segurança ao importar dados de instâncias com diferentes domínios. Além disso, os usuários da instância de destino agora podem aceitar ou rejeitar contribuições atribuídas, criando uma camada adicional de proteção contra acessos não autorizados.
Além das melhorias na funcionalidade de importação, a atualização corrige outras vulnerabilidades críticas. Entre elas, estava a possibilidade de exposição de tokens de acesso em logs do GitLab, identificada como CVE-2025-0194. Essa falha poderia permitir acessos não autorizados em certas condições. Outra vulnerabilidade corrigida era a criação de referências cíclicas em épicos, conhecida como CVE-2024-6324, que podia ser explorada para realizar ataques de negação de serviço (DoS). Havia também uma falha que permitia a manipulação não autorizada do status de issues em projetos públicos, registrada como CVE-2024-12431, além de um problema na configuração SAML, que possibilitava a usuários burlarem configurações de provedores externos e obterem acesso não autorizado a projetos ou grupos internos.
O GitLab reforçou a urgência da atualização, recomendando que todas as instalações autogerenciadas sejam atualizadas imediatamente para uma das versões corrigidas. Além disso, sugeriu que os administradores desativem os importadores até que a atualização seja aplicada, ou que os habilitem apenas temporariamente durante o processo de importação, se necessário.