GitLabに重大な脆弱性、攻撃者に他ユーザーとしてのパイプライン実行を許す恐れ : CVE-2024-6385 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > GitLabに重大な脆弱性、攻撃者に他ユーザーとしてのパイプライン実行を許す恐れ : CVE-2024-6385

Threat Report

GitLab

Silobreaker-CyberAlert

VMware

GitLabに重大な脆弱性、攻撃者に他ユーザーとしてのパイプライン実行を許す恐れ : CVE-2024-6385

佐々山 Tacos

佐々山 Tacos

2024.07.11

7月11日:サイバーセキュリティ関連ニュース

GitLabに重大な脆弱性、攻撃者に他ユーザーとしてのパイプライン実行を許す恐れ : CVE-2024-6385

BleepingComputer – July 10, 2024

GitLabが、コミュニティ版とエンタープライズ版の双方における重大な脆弱性CVE-2024-6385を修正。CVSS基本値が9.6でCritical評価のこの脆弱性を攻撃者が悪用した場合、任意のユーザーとしてパイプラインジョブを実行することが可能となる恐れがあるという。

CVE-2024-6385の影響を受けるのは、以下のバージョンのコミュニティ版およびエンタープライズ版。特定の条件下で攻撃者によって悪用されると、任意ユーザーとしての新たなパイプラインのトリガーが可能になるとされている。ただしこの「条件」が何なのかは明記されていない。

  • 15.8以降、16.11.6より前のバージョン
  • 17.0以降、17.0.4より前のバージョン
  • 17.1以降、17.1.2より前のバージョン

 

修正版は以下:

  • 16.11.6
  • 17.0.4
  • 17.1.2

 

GitLabの脆弱性といえば、今回のものとよく似たゼロクリックの脆弱性CVE-2023-7028が盛んに悪用されている。またGitLabは、APIキーや専有コードなど、機微性の高いさまざまな企業データをホストしていることから、攻撃者にとっては魅力的なターゲット。利用者には、可及的速やかなアップグレードが強く推奨される。

VMware、 Aria Automationの深刻なSQLi脆弱性にパッチ:CVE-2024-22280

SecurityWeek – July 10, 2024

VMWareは水曜、Aria Automation製品におけるSQLインジェクションの脆弱性CVE-2024-22280に対するパッチをリリース。この脆弱性の深刻度は「High(高)」、CVSSスコアは8.5とされている。

VMwareによれば、これはAria Automationで入力値の適切な検証が行われないことに起因するもの。認証済みの悪意あるユーザーが特別に細工されたSQLクエリを入力することでこれを悪用すれば、データベース内で不正な読み取り/書き込み操作を行うことができる恐れがあるという。

影響を受けるのはVMware Aria Automationのバージョン8.xと、Cloud Foundationの5.xおよび4.x。VMwareのアドバイザリはこちら:VMSA-2024-0017: VMware Aria Automation updates address SQL-injection vulnerability (CVE-2024-22280)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ