【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199

漏洞描述:
GitLab是一个开源的代码托管平台,用于代码管理和协作,CODEOWNERS是GitLab中的一个功能,允许项目维护者指定可以批准代码更改的人员,该功能旨在提高代码审核的安全性，并确保只有经过授权的人员才能合并代码更改,GitLab中存在一个身份认证绕过漏洞,该漏洞允许攻击者绕过 CODEOWNERS验证，在旧功能分支中利用精心构造的有效负载执行恶意操作，成功的利用此漏洞可以实现对代码和数据进行访问和修改。

影响版本:
11.3<=GitLab CE<16.7.7

16.7.6<=GitLab CE<16.8.4

16.8.3<=GitLab CE<16.9.2

11.3<=GitLab EE<16.7.7

16.7.6<=GitLab EE<16.8.4

16.8.3<=GitLab EE<16.9.2

修复建议:
正式防护方案:
GitLab 已发布安全更新修复了此漏洞,建议所有受影响的用户尽快升级到最新版本：

GitLab 16.9.2

GitLab 16.8.4

GitLab 16.7.7

下载链接:
https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/

原文始发于微信公众号（飓风网络安全）：【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199