GitLab 是 DevOps 生命周期工具的领先平台，已宣布发布针对其社区版 (CE) 和企业版 (EE) 的重要更新。新版本 17.1.1、17.0.3 和 16.11.5 包含必要的安全和错误修复。GitLab 敦促所有用户立即升级，以保护其安装免受潜在攻击。

关键安全修复

CVE-2024-5655 (CVSS 9.6) – 以任何用户身份运行管道 已发现一个严重漏洞 (CVE-2024-5655)，影响 15.8 及以上版本的 GitLab。此漏洞允许攻击者在特定条件下以其他用户身份触发管道，造成重大安全风险。该补丁改变了合并请求 (MR) 重新定位工作流，要求用户在合并目标分支时手动启动管道。此外，GraphQL 身份验证 CI_JOB_TOKEN 现在默认禁用，需要使用其他身份验证方法。

CVE-2024-4901 (CVSS 8.7) – 导入项目的提交说明中存在存储型 XSS 另一个严重问题 (CVE-2024-4901) 涉及存储型跨站点脚本 (XSS) 漏洞。此漏洞可通过导入项目中的恶意提交注释进行利用，影响 16.9 及以上版本。成功利用此漏洞可让攻击者在用户会话上下文中执行任意脚本。

CVE-2024-4994 (CVSS 8.1) – GraphQL API IntrospectionQuery 上的 CSRF 跨站点请求伪造 (CSRF) 漏洞 (CVE-2024-4994) 影响 16.1.0 及以上的所有版本。此问题允许攻击者执行任意 GraphQL 变更，可能导致 GitLab 实例内发生未经授权的操作。

已解决的其他漏洞

GitLab 的最新版本还解决了其他几个重大漏洞：

1. CVE-2024-6323（CVSS 7.5）：全局搜索中的授权不当导致公共项目中的私有存储库内容泄露。
2. CVE-2024-2177 (CVSS 6.8)：用户应用程序 OAuth 流中的跨窗口伪造。
3. CVE-2024-5430 (CVSS 6.8)：项目维护者绕过群组合并请求批准政策。
4. CVE-2024-4025 (CVSS 6.5)：通过定制的 markdown 页面发起正则表达式拒绝服务 (ReDoS)。
5. CVE-2024-3959 (CVSS 6.5)：未经授权访问私人工作工件。
6. CVE-2024-4557 (CVSS 6.5)： Banzai 管道的安全修复。
7. CVE-2024-1493 (CVSS 6.5)：依赖链接器中的 ReDoS。
8. CVE-2024-1816 (CVSS 5.3)：使用精心设计的 OpenAPI 文件造成拒绝服务 (DoS)。
9. CVE-2024-2191 (CVSS 5.3)：合并请求标题的披露。
10. CVE-2024-3115 (CVSS 4.3)：在没有 SSO 会话的情况下访问史诗时出现问题。
11. CVE-2024-4011（CVSS 3.1）：非项目成员将关键成果推广到目标。

紧急升级建议

虽然 GitLab 尚未发现这些漏洞被利用的证据，但这些漏洞的严重性要求立即采取行动。强烈建议 GitLab CE 和 EE 用户立即升级到 17.1.1、17.0.3 或 16.11.5 版本，以确保其安装的安全性和完整性。