GitLab: Patch stopft kritische XSS Lücken

Table of Contents
  1. April 2024 - GitLab hat neue Versionen (16.10.2, 16.9.4, 16.8.6) für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht um teils kritische Lücken zu stopfen.
    Es wird dringend empfohlen On-Premise Instanzen auf die neueste Version zu aktualisieren.
TitelSchweregrad
Gespeicherter XSS-Injection im Diff-ViewerHoch
Gespeicherter XSS über AutovervollständigungsergebnisseHoch
Redos bei Integrations-Chat-NachrichtenMittel
Redos während des Parsens des JUnit-TestberichtsMittel

Gepatchte Sicherheitslücken

Gespeicherter XSS-Injection im Diff-Viewer

Die Sicherheitslücke CVE-2024-3092 betrifft alle Versionen ab 16.10 vor 16.10.2. Ein Payload kann zu einem gespeicherten XSS führen, während der Diff-Viewer verwendet wird, was Angreifern ermöglicht, willkürliche Aktionen im Namen von Opfern auszuführen. Dies ist eine Sicherheitslücke mit hoher Schwere (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, Schweregrad 8.7 / 10).

Gespeicherter XSS über Autovervollständigungsergebnisse

Die Sicherheitslücke CVE-2024-2279 betrifft alle Versionen von 16.7 bis 16.8.6, alle Versionen ab 16.9 vor 16.9.4 und alle Versionen ab 16.10 vor 16.10.2. Durch die Verwendung der Autovervollständigung für Issue-Referenzen kann ein manipulierter Payload zu einem gespeicherten XSS führen, wodurch Angreifer willkürliche Aktionen im Namen von Opfern ausführen können. Dies ist eine Sicherheitslücke mit hoher Schwere (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, Schweregrad 8.7 / 10 ).

Redos bei Integrations-Chat-Nachrichten

Die Denial-of-Service-Sicherheitslücke CVE-2023-6489 betrifft Versionen 16.7.7 vor 16.8.6, 16.9 vor 16.9.4 und 16.10 vor 16.10.2 und ermöglicht einem Angreifer die Ressourcennutzung der GitLab-Instanz über die Chat-Integrationsfunktion zu erhöhen, was zu einer Dienstbeeinträchtigung führt. Dies ist eine Sicherheitslücke mit mittlerem Schweregrad (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, Schweregrad 4.3 / 10 ).

Redos während des Parsens des JUnit-Testberichts

Die Schwachstelle CVE-2023-6678 betrifft alle Versionen ab 16.9 vor 16.9.4 und alle Versionen ab 16.10 vor 16.10.2. Es war möglich, durch bösartig gestaltete Inhalte in einer JUnit-Testberichtsdatei einen Denial-of-Service-Angriff zu verursachen. Dies ist eine Sicherheitslücke mit mittlerem Schweregrad (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, Schweregrad 4.3 / 10 ).

Related Posts

LG Smart-TVs durch kritische Sicherheitslücken bedroht

Die Cyber Security Firma Bitdefender berichtete im April 2024 mehrere Sicherheitslücken auf LG Smart-TVs, die die WebOS-Versionen 4 bis 7 betreffen. Die Schwachstellen ermöglichten es, Root-Zugriff auf den Fernseher zu erlangen, nachdem der Autorisierungsmechanismus umgangen wurde. Obwohl der anfällige Dienst nur für den LAN-Zugriff vorgesehen ist, identifizierte die Suchmaschiene Shodan über 91.000 Geräte, die diesen Dienst im Internet freigeben.

Read More

Schwachstellen in Sharepoint: Angreifer bleiben unentdeckt

Varonis Threat Labs hat zwei neue Techniken identifiziert, mit denen Nutzer in SharePoint Sicherheitsmechanismen umgehen und unbemerkt Dateien extrahieren können. Die Forscher entdeckten, dass bestimmte Handlungen in SharePoint die Auslösung von Download-Events vermeiden können, was eine unauffällige Exfiltration von Dateien ermöglicht. Diese Techniken könnten traditionelle Sicherheitstools wie Cloud-Zugriffssicherheits-Broker, Datenverlustpräventionssysteme (DLP) und SIEMs (Security Information and Event Management) unterlaufen, indem sie Downloads als weniger verdächtige Zugriffs- und Synchronisationsereignisse tarnen.

Read More

Twitter behebt URL-Rewrite-Fehler, der Phishing ermöglichte

10. April 2024 - Die Social-Media-Plattform X, ehemals bekannt als Twitter, hat kürzlich einen peinlichen Fehler behoben, der es ermöglichte, dass URLs auf der Plattform missbräuchlich für Phishing-Kampagnen genutzt werden konnten. Laut einem Bericht des News Portals TheRegister.com trat der Fehler am 8.4.24 auf, nachdem Programmierer von X eine Regel in der iOS-App implementierten, die Links von Twitter.com automatisch in X.com-Links umwandelte.

Read More