GitLab також піддається вразливості GitHub до розміщення шкідливого програмного забезпечення

08:56, 24.04.2024

GitLab виявилася також вразливою до уразливості GitHub, яка дозволяє розміщувати шкідливе програмне забезпечення за допомогою URL-адрес, підключених до репозиторіїв Microsoft.

Уразливість пов'язана з функцією коментарів, де можна прикріпити посилання з унікальною URL-адресою у форматі: "https://www.github.com/{користувач_проекту}/{репо_ім'я}/files/{id_файлу}/{ім'я_файлу}". Посилання можуть генеруватися при створенні коментаря до комміту для репозиторіїв популярних та авторитетних проектів, а потім залишатися активними, навіть якщо коментар не було опубліковано.

Користувачі можуть прикріплювати будь-які файли, створюючи для них посилання на завантаження, і кіберзловмисники виявили, що вони можуть використовувати цю можливість для розповсюдження шкідливого програмного забезпечення.

Така ж уразливість була виявлена в GitLab CDN, де посилання мають наступний формат: https://gitlab.com/{project_group_namr}/{repo_name}/uploads/{file_id}/{file_name}.

Поділитися