GitLab访问控制不当漏洞安全风险通告

2024年6月28日15:25:07评论3 views字数 595阅读1分59秒阅读模式

漏洞背景

近日，嘉诚安全监测到GitLab社区版（CE）和企业版（EE）中修复了一个访问控制不当漏洞，漏洞编号为：CVE-2024-5655。

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞，允许攻击者在某些情况下以其他用户的身份触发pipeline。

危害影响

影响版本：

15.8 <= GitLab CE/EE < 16.11.5

17.0 <= GitLab CE/EE < 17.0.3

17.1 <= GitLab CE/EE < 17.1.1

处置建议

目前该漏洞已经修复，受影响用户可升级到GitLab CE/EE版本17.1.1、17.0.3、16.11.5或更高版本。

下载链接：

https://packages.gitlab.com/gitlab/gitlab-ee?page=6

参考链接：

https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

https://nvd.nist.gov/vuln/detail/CVE-2024-5655

原文始发于微信公众号（嘉诚安全）：【漏洞通告】GitLab访问控制不当漏洞安全风险通告

认识 Brain Cipher — 印度尼西亚数据中心攻击背后的新型勒索软件