Bremer24 Logo

Navigation Home Kontakt Impressum
News News Archiv News schreiben Meistgelesen
ThemenDSLKreditStromKrankenkasse

Newsletter abbestellen

Gitlab warnt vor Account-Übernahmen durch XSS-Schwachstelle

Sie befinden sich: Home > News Archiv > Webmaster > Gitlab warnt vor Acc...

Gitlab hat eine schwerwiegende Sicherheitslücke in mehreren Versionen seiner Community- und Enterprise-Edition geschlossen. Die als CVE-2024-4835 registrierte Schwachstelle erlaubt es Angreifern, fremde Nutzerkonten zu übernehmen. Admins sollten dringend die neuesten Patches installieren.

Gitlab warnt vor Account-Übernahmen durch XSS-Schwachstelle

Gitlab hat neue Patches für insgesamt sieben Sicherheitslücken bereitgestellt. Unter diesen befindet sich auch die kritische Schwachstelle CVE-2024-4835, die es Angreifern ermöglicht, durch Cross Site Scripting (XSS) fremde Nutzerkonten zu übernehmen. Der Schweregrad dieser Sicherheitslücke wird mit einem CVSS von 8 als hoch eingestuft.

Details zur Schwachstelle

Wie Gitlab mitteilte, kann die Sicherheitslücke nur in Verbindung mit dem VS-Code-Editor ausgenutzt werden. Die erforderliche Nutzerinteraktion beschränkt sich dabei auf einen einzigen Klick, durch den die Zielperson auf eine vom Angreifer präparierte Seite geleitet wird. Diese Seite dient dazu, vertrauliche Benutzerinformationen auszuspionieren.

Belohnung für den Entdecker

Gemeldet wurde die Schwachstelle von Matan Berson über das Hackerone-Bug-Bounty-Programm. Für seine Entdeckung erhielt Berson eine Belohnung in Höhe von 10.270 US-Dollar.

Weitere behobene Sicherheitslücken

Neben CVE-2024-4835 hat Gitlab mit den neuesten Updates auch weitere sechs Sicherheitslücken geschlossen, deren CVSS-Werte zwischen 4,3 und 6,5 liegen. Diese wurden als mittelschwer eingestuft und in den Versionen 17.0.1, 16.11.3 und 16.10.6 der Community- und Enterprise-Edition behoben. Gitlab empfiehlt Administratoren dringend, ihre Instanzen auf diese Versionen zu aktualisieren.

Frühere Sicherheitsprobleme

Erst im Januar hatte Gitlab eine andere schwerwiegende Sicherheitslücke (CVE-2023-7028) geschlossen, die es Angreifern ermöglichte, fremde Nutzerkonten zu übernehmen, indem sie die zugehörigen Passwörter über eine nicht verifizierte E-Mail-Adresse zurücksetzten. Diese Schwachstelle wurde mit einem maximalen CVSS von 10 als kritisch bewertet.

Auswirkungen und Empfehlungen

Laut den Statistiken von Shadowserver waren Ende Januar fast 5.400 Gitlab-Instanzen anfällig für CVE-2023-7028. Noch heute sind weltweit mehr als 2.000 dieser Instanzen angreifbar, darunter rund 200 in Deutschland. Obwohl die nötigen Patches seit mehr als vier Monaten verfügbar sind, werden sie oft nicht zeitnah installiert. Cyberkriminelle nutzen diese Schwachstellen aktiv aus, was die Notwendigkeit von regelmäßigen Updates und Patches unterstreicht.

Eckdaten:

- Sicherheitslücke: CVE-2024-4835

- Art: XSS (Cross Site Scripting)

- Schweregrad: Hoch (CVSS 8)

- Entdecker: Matan Berson

- Belohnung: 10.270 US-Dollar

- Betroffene Versionen: Gitlab Community und Enterprise Editionen

- Empfohlene Updates: Versionen 17.0.1, 16.11.3 und 16.10.6

Teilen Sie uns Ihre Meinung mit! Wie gehen Sie mit Sicherheitsupdates um? Haben Sie Tipps für die Verwaltung von Patches? Hinterlassen Sie einen Kommentar und diskutieren Sie mit anderen Lesern.



gitlab nutzerkonten Übernahmen registrierte community enterprise

Erstellt am: 24.05.2024 um 13:02 Uhr von Bremer24

Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.

Kommentar schreiben

Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.

Pflichtfelder


Neusten News in der Kategorie "Webmaster"

• PHP 8.5 Upgrade: jetzt oder doch bei 8.4 bleiben?
PHP 8.1 ist tot, PHP 8.2 läuft Ende 2026 aus, ein Upgrade steht also a...
• KI-Crawler blocken, zur Kasse bitten oder zulassen?
GPTBot, ClaudeBot und PerplexityBot überziehen Webseiten mit Anfragen....
• UpdraftPlus-Lücke löst Supply-Chain-Angriff aus
Erst war es nur eine Lücke im Backup-Plugin UpdraftPlus. Dann gelangte...
• SSL-Zertifikate 2026: Nur noch 47 Tage statt 398
Einmal im Jahr das SSL-Zertifikat erneuern? Damit ist bald Schluss. Bi...
• WordPress 7.0 ist da, doch Plugins bleiben das Risiko
WordPress 7.0 ist da, mit KI im Core und einer gestrichenen Vorzeigefu...
• Cyber Resilience Act: Was ab 11. September 2026 gilt
Ab dem 11. September 2026 müssen Hersteller digitaler Produkte aktiv a...
• GEO: So wird Ihre Website in KI-Antworten zitiert
Wer bei Google ganz oben steht, taucht in ChatGPT oder Perplexity oft ...
• Google Spam Update Juni 2026: Das sollten Sie tun
Am 24. Juni hat Google das June 2026 Spam Update ausgerollt. Ohne Blog...
• Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl...
MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co...
• Neue Hürden für Entwickler: So meistern Sie den raueren Arbe...
Die Suche nach Programmierjobs wird zur Herausforderung. Automatisieru...
Blogverzeichnis Bloggerei.de - Computerblogs Facebook Fanpage RSS-Feed
- Home - News Archiv - Impressum - Datenschutz | Copyright © by SchubertMedia