Gitlab warnt vor Account-Übernahmen durch XSS-Schwachstelle
Sie befinden sich: Home > News Archiv > Webmaster > Gitlab warnt vor Acc...
Gitlab hat eine schwerwiegende Sicherheitslücke in mehreren Versionen seiner Community- und Enterprise-Edition geschlossen. Die als CVE-2024-4835 registrierte Schwachstelle erlaubt es Angreifern, fremde Nutzerkonten zu übernehmen. Admins sollten dringend die neuesten Patches installieren.Gitlab warnt vor Account-Übernahmen durch XSS-Schwachstelle
Gitlab hat neue Patches für insgesamt sieben Sicherheitslücken bereitgestellt. Unter diesen befindet sich auch die kritische Schwachstelle CVE-2024-4835, die es Angreifern ermöglicht, durch Cross Site Scripting (XSS) fremde Nutzerkonten zu übernehmen. Der Schweregrad dieser Sicherheitslücke wird mit einem CVSS von 8 als hoch eingestuft.
Details zur Schwachstelle
Wie Gitlab mitteilte, kann die Sicherheitslücke nur in Verbindung mit dem VS-Code-Editor ausgenutzt werden. Die erforderliche Nutzerinteraktion beschränkt sich dabei auf einen einzigen Klick, durch den die Zielperson auf eine vom Angreifer präparierte Seite geleitet wird. Diese Seite dient dazu, vertrauliche Benutzerinformationen auszuspionieren.
Belohnung für den Entdecker
Gemeldet wurde die Schwachstelle von Matan Berson über das Hackerone-Bug-Bounty-Programm. Für seine Entdeckung erhielt Berson eine Belohnung in Höhe von 10.270 US-Dollar.
Weitere behobene Sicherheitslücken
Neben CVE-2024-4835 hat Gitlab mit den neuesten Updates auch weitere sechs Sicherheitslücken geschlossen, deren CVSS-Werte zwischen 4,3 und 6,5 liegen. Diese wurden als mittelschwer eingestuft und in den Versionen 17.0.1, 16.11.3 und 16.10.6 der Community- und Enterprise-Edition behoben. Gitlab empfiehlt Administratoren dringend, ihre Instanzen auf diese Versionen zu aktualisieren.
Frühere Sicherheitsprobleme
Erst im Januar hatte Gitlab eine andere schwerwiegende Sicherheitslücke (CVE-2023-7028) geschlossen, die es Angreifern ermöglichte, fremde Nutzerkonten zu übernehmen, indem sie die zugehörigen Passwörter über eine nicht verifizierte E-Mail-Adresse zurücksetzten. Diese Schwachstelle wurde mit einem maximalen CVSS von 10 als kritisch bewertet.
Auswirkungen und Empfehlungen
Laut den Statistiken von Shadowserver waren Ende Januar fast 5.400 Gitlab-Instanzen anfällig für CVE-2023-7028. Noch heute sind weltweit mehr als 2.000 dieser Instanzen angreifbar, darunter rund 200 in Deutschland. Obwohl die nötigen Patches seit mehr als vier Monaten verfügbar sind, werden sie oft nicht zeitnah installiert. Cyberkriminelle nutzen diese Schwachstellen aktiv aus, was die Notwendigkeit von regelmäßigen Updates und Patches unterstreicht.
Eckdaten:
- Sicherheitslücke: CVE-2024-4835
- Art: XSS (Cross Site Scripting)
- Schweregrad: Hoch (CVSS 8)
- Entdecker: Matan Berson
- Belohnung: 10.270 US-Dollar
- Betroffene Versionen: Gitlab Community und Enterprise Editionen
- Empfohlene Updates: Versionen 17.0.1, 16.11.3 und 16.10.6
Teilen Sie uns Ihre Meinung mit! Wie gehen Sie mit Sicherheitsupdates um? Haben Sie Tipps für die Verwaltung von Patches? Hinterlassen Sie einen Kommentar und diskutieren Sie mit anderen Lesern.
geschlossen warnt mehreren fremde erlaubt
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl... MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co... |
| • Neue Hürden für Entwickler: So meistern Sie den raueren Arbe... Die Suche nach Programmierjobs wird zur Herausforderung. Automatisieru... |
| • FAIR ersetzt WordPress.org-API mehr Kontrolle für Entwickle... Die Linux Foundation startet mit FAIR einen neuen, dezentralen Paketma... |
| • GitHub-Sicherheitslücke: Private und gelöschte Repos bleiben... GitHub hat ein erhebliches Sicherheitsproblem: Gelöschte und private R... |
| • Barrierefreiheitsstärkungsgesetz: Website-Sperrung für Firme... Unternehmen in Deutschland stehen unter enormem Druck: Bis Juni 2025 m... |
| • Supply-Chain-Attacke: Polyfill.io verteilt Schadcode über CD... Mehrere Sicherheitsforscher warnen vor einer aktiven Bedrohung durch d... |
| • Kritische PHP-Schwachstelle unter Windows entdeckt PHP-Entwickler haben ein neues Sicherheitsupdate veröffentlicht, ... |
| • Ab Juli: Google indexiert nur noch mobilfähige Websites Eigentlich schien Googles Mobile-First-Offensive abgeschlossen. Aber d... |
| • Bing stellt vor: Top Insights für maximale Website-Performan... Mit den neuen Top Insights von Bing Webmaster Tools optimieren Sie Ihr... |
| • Neue Google-Updates: Weniger Spam und hochwertigere Sucherge... Google kündigt wesentliche Änderungen an, um die Qualität der Sucherge... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.