Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками.
GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS-атаки.
«Сегодня мы выпускаем версии 17.0.1, 16.11.3 и 16.10.6 для GitLab Community Edition (CE) и Enterprise Edition (EE)», — заявили в компании. «Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям GitLab немедленно обновить свои установки до одной из этих версий».
Основная проблема с рейтингом 8.0 баллов по шкале CVSS, зарегистрированная как CVE-2024-4835, представляет собой XSS-уязвимость в редакторе кода VS (Web IDE). С её помощью злоумышленники могут похищать конфиденциальную информацию, используя специально созданные для этого страницы. Хотя для эксплуатации данной уязвимости не требуется аутентификация, взаимодействие с пользователем всё ещё необходимо, что несколько усложняет проведение атаки.
Вместе с вышеописанной проблемой компания также исправила шесть других уязвимостей средней степени критичности (оценки CVSS от 4.3 до 6.5), включая CSRF через сервер Kubernetes Agent ( CVE-2023-7045 ) и уязвимость отказа в обслуживании, позволяющую нарушителям нарушать загрузку веб-ресурсов GitLab ( CVE-2024-2874 ).
С полным перечнем уязвимости и их подробным описанием можно ознакомиться по данной ссылке.
GitLab часто становится целью атак, поскольку хранит различные типы конфиденциальных данных, включая API-ключи и проприетарный код. Захват учётных записей на платформе может иметь серьёзные последствия, включая атаки на цепочку поставок, если злоумышленникам удастся интегрировать вредоносный код в CI/CD среду той или иной организации.
Ранее в этом месяце агентство CISA предупредило, что злоумышленники активно эксплуатируют ещё одну уязвимость в GitLab, позволяющую захватывать учётные записи без взаимодействия с пользователем.
Зарегистрированная как CVE-2023-7028, данная брешь имеет максимальный уровень опасности (10.0 по CVSS) и позволяет неаутентифицированным злоумышленникам захватывать учётные записи GitLab через сброс пароля.
Хотя Shadowserver обнаружил более 5300 уязвимых экземпляров GitLab, доступных онлайн в январе, 2084 из них до сих пор находятся в зоне риска. CISA добавило CVE-2023-7028 в свой каталог известных эксплуатируемых уязвимостей 1 мая, потребовав от федеральных агентств США защитить свои системы в срок до 22 мая.
Станьте призраком в интернете
Узнайте как на нашем канале
Присоединяйтесь сейчас
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.