GitLab gebruikers moeten dringend hun servers bijwerken om zich te beschermen tegen een nieuwe kritieke kwetsbaarheid die dreiging actoren in staat zou kunnen stellen om pipelines uit te voeren als andere gebruikers en zo privé-opslagplaatsen in gevaar te brengen.

De kwetsbaarheid, met het kenmerk CVE-2023-5009, bevindt zich in de geplande beveiliging scanbeleidsregels, volgens GitLab, en is een omzeiling van een andere bug die in juli werd gevolgd onder CVE-2023-3932.

“We raden ten zeerste aan dat alle installaties die worden beïnvloed door deze problemen… zo snel mogelijk worden bijgewerkt naar de nieuwste versie,” zei GitLab.

Elke gebruiker zou potentieel gebruik kunnen maken van de kritieke kwetsbaarheid door het beleidsbestand van de auteur te wijzigen met het “got config”-commando, volgens Alex Ilgayev, hoofd beveiligingsonderzoek bij Cycode.

“De kwetsbaarheid is een omzeiling van een andere kwetsbaarheid die een maand geleden is gemeld en opgelost, waardoor het mogelijk was om de identiteit van de auteur van het beleidsbestand te vervalsen, de toestemmingen van de pipeline over te nemen en toegang te krijgen tot privé-opslagplaatsen van elke gebruiker,” zei Ilgayev. “Hoewel GitLab geen officiële informatie heeft vrijgegeven over de omzeiling, lijkt de omzeiling te bestaan uit het verwijderen van de bot-gebruiker uit de groep en het opnieuw toestaan van de uitvoering van de vorige kwetsbaarheidsstroom door inspectie van de GitLab-broncode.”