Сегодня в ТОП-5 — критичный патч от GitLab, бюллетень с исправлениями от Qualcomm, активно эксплуатируемые уязвимости в Palo Alto, новые атаки APT-группы Awaken Likho, октябрьское обновление безопасности Microsoft. GitLab выпустила критичное обновление безопасности GitLab выпустила патч, устраняющий восемь уязвимостей для Community Edition (CE) и Enterprise Edition (EE).
В том числе критичную уязвимость с идентификатором CVE-2024-9164 (CVSS: 9.6), в ходе эксплуатации которой злоумышленники могут запускать CI/CD-пайплайны на любых ветках репозиториев без авторизации.
Кроме того, устранены уязвимости с идентификаторами CVE-2024-8977 (CVSS 8.2) и CVE-2024-8970 (CVSS 8.2). Первая уязвимость позволяет злоумышленникам отправлять запросы от имени системы на внутренние ресурсы, а вторая дает возможность запускать конвейеры от имени другого пользователя.
Читать на habr.com