Mit den Versionen 16.6.1, 16.5.3 und 16.4.3 für die GitLab Community Edition (CE) und Enterprise Edition (EE) gibt es Sicherheitsupdates für die Entwicklerplattform.
Der Anbieter empfiehlt dringend, alle GitLab-Installationen sofort auf eine dieser Versionen zu aktualisieren. Auf GitLab.com laufe bereits die gepatchte Version.
Mit hohem Sicherheitsrisiko ist eine Lücke gekennzeichnet, die über eine unsachgemäße Neutralisierung von Eingaben in der Jira-Integrationskonfiguration in GitLab CE/EE es Angreifern ermöglicht, Javascript im Browser des Opfers auszuführen. Alle Versionen ab 15.10 vor 16.6.1, 16.5 vor 16.5.3 und 16.4 vor 16.4.3 seien betroffen, heißt es weiter. Das schwerwiegende Problem sei in der neuesten Version entschärft und sei der CVE-2023-6033 zugeordnet.
Ein weiteres mit hohem Risiko behaftetes Problem wurde in GitLab EE entdeckt. Es betrifft laut der Mitteilung alle Versionen ab 16.5 vor 16.5.3 und alle Versionen ab 16.6 vor 16.6.1. Wenn einem Benutzer eine benutzerdefinierte Rolle zugewiesen werde und “admin_group_member” aktiviert sei, könne er möglicherweise ein Mitglied mit einer höheren statischen Rolle als er selbst zur Gruppe hinzufügen, was zu einer Privilegieneskalation führen kann.
