A GitLab emitiu um alerta de segurança de elevada importância, lançando atualizações para a sua popular plataforma DevSecOps que corrigem múltiplas vulnerabilidades. Entre as falhas mais graves encontram-se brechas que podem permitir a atacantes tomar o controlo de contas de utilizador e injetar tarefas maliciosas em processos de desenvolvimento futuros.
A empresa apela a que todos os administradores de sistemas atualizem as suas instalações o mais rapidamente possível para garantir a proteção contra estas ameaças.
Atualização urgente corrige falhas críticas
Foram lançadas as versões 18.0.2, 17.11.4 e 17.10.8 do GitLab Community Edition (CE) e Enterprise Edition (EE) para resolver as falhas de segurança identificadas. A empresa sublinha a urgência da situação, recomendando a atualização imediata de todas as instalações auto-hospedadas (self-managed).
Numa nota sobre o lançamento, a empresa alertou: "Estas versões contêm correções de segurança e de bugs importantes, e recomendamos vivamente que todas as instalações GitLab geridas pelos próprios utilizadores sejam atualizadas para uma destas versões imediatamente".
Utilizadores das versões cloud, como GitLab.com e GitLab Dedicated, não precisam de tomar qualquer ação, uma vez que estas plataformas já foram atualizadas pela empresa.
Tomar controlo de contas e injetar código malicioso
Uma das vulnerabilidades mais perigosas, registada como CVE-2025-4278, consistia numa falha de injeção de HTML. Através desta brecha, um atacante remoto poderia injetar código malicioso na página de pesquisa da plataforma, levando à tomada de controlo de contas de utilizador.
Foi também corrigida uma falha grave de autorização na versão GitLab Ultimate EE (CVE-2025-5121). Esta vulnerabilidade permitia que um atacante, já autenticado na plataforma, conseguisse injetar "jobs" de CI/CD maliciosos nos pipelines de qualquer projeto. Os pipelines de CI/CD (Continuous Integration/Continuous Deployment) são um sistema essencial no GitLab que automatiza os processos de construção, teste e implementação de código. A exploração bem-sucedida desta falha, no entanto, requeria que o atacante tivesse acesso autenticado a uma instância GitLab com licença Ultimate.
Outras vulnerabilidades de segurança resolvidas
O pacote de atualizações resolveu ainda outras falhas significativas, incluindo:
- CVE-2025-2254: Uma vulnerabilidade de Cross-Site Scripting (XSS) que podia permitir a um atacante executar ações no contexto de um utilizador legítimo.
- CVE-2025-0673: Uma falha de Negação de Serviço (DoS) que podia ser explorada para criar ciclos de redirecionamento infinitos, causando o esgotamento da memória do servidor e bloqueando o acesso a utilizadores legítimos.
Por que razão o GitLab é um alvo valioso?
Os repositórios GitLab são alvos frequentes de ciberataques devido à natureza sensível da informação que contêm, como código-fonte, chaves de acesso e outros dados confidenciais. Incidentes recentes, como as violações de dados reportadas pela gigante de aluguer de automóveis Europcar Mobility Group e pela gigante da educação Pearson, que tiveram os seus repositórios GitLab comprometidos, provam o quão valiosos estes sistemas são para os criminosos.
A plataforma DevSecOps da GitLab conta com mais de 30 milhões de utilizadores registados e é utilizada por mais de 50% das empresas da lista Fortune 100, incluindo nomes como Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia e UBS, o que torna a segurança do seu ecossistema uma prioridade máxima.
Nenhum comentário
Seja o primeiro!