A GitLab lançou correções para uma falha de segurança crítica em suas edições Community (CE) e Enterprise (EE), que poderia ser explorada para escrever arquivos arbitrários durante a criação de um workspace. Identificada como CVE-2024-0402, a vulnerabilidade recebeu uma pontuação CVSS de 9.9 em um máximo de 10.

A falha afeta todas as versões do GitLab CE/EE desde a 16.0 até antes da 16.5.8, 16.6 até antes da 16.6.6, 16.7 até antes da 16.7.4, e 16.8 até antes da 16.8.1. A vulnerabilidade permite que um usuário autenticado escreva arquivos em locais arbitrários no servidor GitLab durante a criação de um workspace, conforme informado pela GitLab em um aviso divulgado em 25 de janeiro de 2024.

A empresa também observou que os patches para o bug foram retroportados para as versões 16.5.8, 16.6.6, 16.7.4 e 16.8.1. Esta atualização chega duas semanas após a plataforma DevSecOps ter enviado correções para fechar duas falhas críticas, incluindo uma que poderia ser explorada para assumir contas sem exigir nenhuma interação do usuário (CVE-2023-7028, pontuação CVSS: 10.0). Os usuários são aconselhados a atualizar suas instalações para uma versão corrigida o mais rápido possível para mitigar riscos potenciais.