O GitLab lançou mais uma rodada de atualizações para corrigir falhas de segurança em sua plataforma de desenvolvimento de software, incluindo um bug crítico que permite a um invasor executar trabalhos de pipeline como um usuário arbitrário. A vulnerabilidade, rastreada como CVE-2024-6385, possui uma pontuação CVSS de 9.6 em um máximo de 10.0. “Um problema foi descoberto no GitLab CE/EE afetando versões 15.8 anteriores a 16.11.6, 17.0 anteriores a 17.0.4 e 17.1 anteriores a 17.1.2, que permite a um atacante acionar um pipeline como outro usuário sob certas circunstâncias,” informou a empresa em um comunicado na última quarta-feira.
Vale destacar que a empresa corrigiu um bug semelhante no final do mês passado que também poderia ser usado para executar pipelines como outros usuários. Todas as falhas de segurança foram corrigidas nas versões 17.1.2, 17.0.4 e 16.11.6 das edições GitLab Community Edition (CE) e Enterprise Edition (EE).
A divulgação ocorre enquanto a Citrix lançou atualizações para uma falha crítica de autenticação inadequada que afeta o NetScaler Console (anteriormente NetScaler ADM), NetScaler SDX e NetScaler Agent (CVE-2024-6235), que poderia resultar na divulgação de informações.