GitLab, Kullanıcı Hesaplarını Hedef Alan Kritik Zafiyet İçin Güncelleme Yayınladı

GitLab, hesabın ele geçirilmesine neden olabilecek kritik bir güvenlik açığını gidermek için güncelleme yayınladı. CVE-2022-1680 olarak izlenen zafiyet CVSS önem puanı 9,9 almış durumda. Güvenlik açığı, GitLab Enterprise Edition’ın (EE) 11.10’dan 14.9.5’e kadar olan tüm sürümlerini, 14.10’dan 14.10.4’e kadar olan tüm sürümleri ve 15.0’dan başlayarak 15.0.1’e kadar olan tüm sürümleri etkiliyor.

GitLab yaptığı açıklamada “Grup SAML SSO’su yapılandırıldığında, SCIM özelliği (yalnızca Premium+ aboneliklerde mevcut), bir Premium grubun herhangi bir sahibinin kullanıcı adları ve e-postaları aracılığıyla rastgele kullanıcıları davet etmesine ve ardından bu kullanıcıların e-posta adreslerini SCIM aracılığıyla saldırgan kontrollü bir e-postayla değiştirmesine izin verebilir (2FA yoksa) buda hesapların ele geçirilmesine yol açabilir ve  hedeflenen hesabın görünen adını ve kullanıcı adını da değiştirebilir,” dedi.

Yukarıda belirtilen zafiyetlerden etkilenen bir versiyon kullanan organizasyonların mümkün olan en kısa sürede en son sürüme yükseltmeleri öneriliyor.

Kaynak: thehackernews.com