GitLab 是一款基于 web 的热门开源软件项目管理和工作跟踪平台,活跃的许可用户数量约100万人。该漏洞的CVSS评分为9.6,在一定条件下可被攻击者以其它用户身份触发管道。
GitLab 管道是CI/CD系统的一个特性,可使用户平行或按顺序自动运行进程和任务,构建、测试或部署代码变更。
该漏洞影响15.8至16.11.4、17.0.0到17.0.2以及17.1.0到17.1.0的所有 GitLab 社区版/企业版版本。GitLab 提到,“我们强烈建议运行受影响版本的安装程序尽快升级至最新版本。”
GitLab 已发布17.1.1、17.0.3和16.11.5版本修复该漏洞,并建议用户尽快应用这些更新。GitLab 还提到升级到最新版本需要注意其中的两个重大变化:
-
之前的目标分支被合并后,如果合并请求被重新针对,则管道将不再自动运行。用户必须手动启动管道,执行这些变更的CI。
-
从17.0.0版本开始,GraphQL认证将默认禁用 CI_JOB_TOKEN,这一变更回滚到了版本 17.0.3和16.11.5。要访问 GraphQL API,用户应对受支持的令牌类型之一进行认证配置。
最新的GitLab 更新还包括对13个其它漏洞的修复,其中3个被评级为“高危”(CVSS v3.1评分7.5-8.7),如下:
-
CVE-2024-4901:存储型XSS漏洞,可导致导入项目的恶意提交说明注入脚本,可能导致越权操作和数据暴露。
-
CVE-2024-4994:位于 GraphQL API中的CSRF漏洞,可导致攻击者诱骗认证用户提出不必要的请求执行任意 GraphQL 变化,可能导致数据操纵和越权操作。
-
CVE-2024-6323:位于 GitLab 全局搜索特性中的授权漏洞,可导致攻击者在公开项目的私密仓库中搜索结果,可能导致信息泄露和越权访问敏感数据。
原文始发于微信公众号(代码卫士):GitLab 严重漏洞导致攻击者以任意用户身份运行管道
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论