Eine weitere gepatchte Schwachstelle, CVE-2024-9515, hätte es einem erfolgreichen Angreifer ermöglichen können, das non-public Repository eines legitimen Benutzers zu klonen, indem er eine zeitgesteuerte Klonanforderung sendet, wenn ein sekundärer Knoten nicht synchronisiert ist. Diese Lücke hat einen CVSS-Rating von 5,3.
Robert Beggs, CEO des kanadischen Incident-Response-Unternehmens Digital Defence, betont, dass GitLab kein passiver Ordner sei, in dem ein Benutzer Daten oder Quellcode ablegt und später wieder abruft. Stattdessen deal with es sich um eine komplexe Anwendung, die den gesamten DevOps-Lebenszyklus von der Planung über die Bereitstellung bis hin zur Überwachung unterstützte.
Um diese Rolle zu erfüllen, bietet GitLab eine Vielzahl komplexer Funktionen. Dieser Funktionsumfang vergrößert die Angriffsfläche. In Kombination mit der Komplexität der Anwendung können Fehlkonfigurationen oder Schwachstellen erhebliche Auswirkungen für die Benutzer haben.
