Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 15.11.2, 15.10.6 и 15.9.7, в которых устранена критическая уязвимость (CVE-2023-2478), позволяющая любому аутентифицированному пользователю через манипуляции с  API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере. Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59098

• Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 09:55 , 08-Май-23
  • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Tester, 11:14 , 08-Май-23
    • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 17:37 , 09-Май-23
  • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 12:22 , 08-Май-23
• Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 10:14 , 08-Май-23
  • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 11:07 , 08-Май-23
    • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 11:27 , 08-Май-23
      • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 12:29 , 08-Май-23
      • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 13:12 , 08-Май-23
• Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Бывалый смузихлёб, 10:26 , 08-Май-23
• Уязвимость в GitLab, позволяющее запустить код при сборке в ...,ИмяХ, 10:35 , 08-Май-23
• Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 11:05 , 08-Май-23
  • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Аноним, 11:29 , 08-Май-23
  • Уязвимость в GitLab, позволяющее запустить код при сборке в ...,Sw00p aka Jerom, 08:58 , 09-Май-23

Если хорошо порыться в этом комбайне, думаю таких уязвимостей с десяток.

ну еще бы... считай бесплатный dos бот.

Всегда ж был софт недоделанный, жёстко фиксирующий возможности.
Дженкинс уж куда есть за что критиковать, но в Дж. хотя бы можно сделать спланированное. А Гилабе - нельзя, жёстко прибито гвоздями.

Посмотри как регулярки сделали, бросили и заново другие сделали и ни то ни то не особо... работает. Ну, работает, если ограничиться. Но - душнова-то в нём.

Я бы покопался в нем, но ошибка 404 не даёт покоя. Разработчики что-то знают.

Чо никто не орёт что Руби виноват?

Виноваты проекты, мигрировавшие с trac на это. При этом они корчат из себя экспертов по безопасности. Что это, глупость, или измена?

Сойдемся что виновата как всегда сишка.

В любой непонятной ситуации переписывай раст на паскале

Нет, виноваты руководители этого проекта. И да, на раст они его уже как год обещают переписать.

> через манипуляции с API GraphQL

мало того что переусложнение на ровном месте, так ещё и дырявое

Вот блиин, я я только-только манйнер под эту уязвимость написал(((

>позволяющее запустить код при сборке в CI любого проекта
>позволяющая любому аутентифицированному пользователю через манипуляции с API GraphQL прикрепить собственный runner-обработчик (приложение для запуска задач при сборке кода проекта в системе непрерывной интеграции) к любому проекту на том же сервере.

Как это поможет запустить код атакующего? Выглядит не как RCE, а как утечка кода из приватного репозитория на раннер.

Ну да это скорее фича. Наверняка в проектах бывает что-то что без этого не работает.

>Выглядит не как RCE

Кек, компайл тайм бекдоры, а дальше что там с непрерывной доставкой? Хуяк, хуяк и в продакшен ведь :)