GitLab heeft in de versies 18.8.7, 18.9.3 en 18.10.1 meerdere beveiligingslekken gedicht. Het ging onder meer om:

– Denial‑of‑service scenario’s die door geauthenticeerde gebruikers konden worden getriggerd via specifieke webhook‑instellingen en input in continuous‑integration (CI) pijplijnen.
– Onjuiste toegangscontrole voor gebruikers met de Planner‑rol, waardoor gevoelige metadata onbedoeld zichtbaar kon zijn.
– Het kunnen buitmaken van API‑tokens voor zelfgehoste AI‑modellen door ongeauthenticeerde gebruikers.
– Kwetsbaarheden waarmee WebAuthn‑twee‑factor‑authenticatie viel te omzeilen.
– Onvoldoende opschoning (sanitization) van Mermaid‑diagrammen en HTML‑inhoud, met ruimte voor ongeautoriseerde acties of manipulatie van gebruikersaccounts.
– Tekortschietende CSRF‑bescherming, waardoor ongeauthenticeerde gebruikers GraphQL‑mutaties konden uitvoeren.

Kort gezegd: uiteenlopende issues rond toegang, validatie en bescherming zijn aangepakt in deze releases.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.