-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in GitLab Enterprise Edition en Community Edition Advisory ID : NCSC-2023-0227 Versie : 1.00 Kans : medium CVE ID : CVE-2023-2478 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high (Remote) code execution (Administrator/Root rechten) (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20230508 Toepassing : GitLab Community Edition GitLab Enterprise Edition GitLab Runner Versie(s) : Platform(s) : Beschrijving GitLab heeft een kwetsbaarheid verholpen in GitLab Enterprise Edition (EE) en Community Edition (CE). Een kwaadwillende met gebruikersrechten kan de kwetsbaarheid misbruiken om een GraphQL endpoint te gebruiken voor het installeren van malafide runners in elk willekeurig project binnen de omgeving en zo willekeurige code uit te voeren. Mogelijke oplossingen GitLab heeft updates uitgebracht om de kwetsbaarheid te verhelpen in GitLab EE en CE 15.11.2, 15.10.6 & 15.9.7. Voor meer informatie, zie: https://about.gitlab.com/releases/2023/05/05 /critical-security-release-gitlab-15-11-2-released/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBZFj3Lf4Vd0fJc7lbAQqK6wv+M/avxeHpQ+zMTmOOS+N75cbnqwQTxvfM u5TwSeLCpCHdixdinl/uxH5Ns1I7SuZYA8sd/c5nkyef+mKviCdzv74ieDbuso9T uzXZ8ZGBVuM7ANN5qCh4RnEXkwVgF7Q4svyhmY3DoQ/Omsin9wwWHdMRpSZRwOwW XJ7DodpeQGfRmj3If/VCgCzCoU2ufDC7NZkIlnJFX1d+rkdeKEq6ETIkMrdAL2sC oKzxhKfXvDWxEiU5UpfMGQpm84FekHC2DNMBUl5bX8MpXYPi/ORJ7C1zpb32COjj fsQnNoTgLqRyJ46WR+bhtUs/uHHNCh5ITlAfiaZWs+OVYpSewr6ovOYG0g3uP3Go tTmfy+uljQahMc53I8ZseGSEU3ZUQVyMsHp9MKO8j4GguXjd4mputn34xoL8IW1u M8L05djYMdVPNmkKEUBuoEhrbMWWpLLuIMw/z2ImuUAVCxH6dhYu1Ux+gRzL2WuJ ABGfoKikLpNEGTrvtrtQcCHilJs/bbQy =hc5D -----END PGP SIGNATURE-----