GitLab存在身份验证绕过漏洞(CVE-2024-6385)

admin
admin
admin
143774
文章
118
评论
2024年7月11日22:05:39评论85 views字数 898阅读2分59秒阅读模式
 

漏洞概述
漏洞名称
GitLab存在身份验证绕过漏洞(CVE-2024-6385)
安恒CERT评级
1级
CVSS3.1评分
9.6
CVE编号
CVE-2024-6385
CNVD编号
未分配
CNNVD编号
未分配
安恒CERT编号
DM-202406-003791
POC情况
未发现
EXP情况
未发现
在野利用
未发现
研究情况
分析中
危害描述

 该漏洞允许攻击者在某些情况下以其他用户的身份触发pipeline
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。

漏洞信息

产品描述

漏洞危害等级:严重

漏洞类型:访问控制错误

影响范围

影响版本:

15.8 <= GitLab CE/EE < 16.11.6

17.0 <= GitLab CE/EE < 17.0.4

17.1 <= GitLab CE/EE < 17.1.2

安全版本:

GitLab CE/EE >= 16.11.6

GitLab CE/EE 17.0.* >= 17.0.4

GitLab CE/EE 17.1.* >= 17.1.2

CVSS向量

访问途径(AV):网络

攻击复杂度(AC):低

所需权限(PR):低

用户交互(UI):不需要用户交互

影响范围 (S):改变

机密性影响 (C):高

完整性影响 (l):高

可用性影响 (A):无

网空资产测绘

根据安恒Sumap全球网络空间资产测绘近三个月数据显示,受影响资产主要分布在中国、美国和德国等国家,其中国内资产为76575。

GitLab存在身份验证绕过漏洞(CVE-2024-6385)

修复方案

官方修复方案

官方已发布修复方案,受影响的用户建议更新至安全版本。

https://packages.gitlab.com/gitlab/gitlab-ee
参考资料

https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/#an-attacker-can-run-pipeline-jobs-as-an-arbitrary-user
技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

原文始发于微信公众号(安恒信息CERT):【风险通告】GitLab存在身份验证绕过漏洞(CVE-2024-6385)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月11日22:05:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitLab存在身份验证绕过漏洞(CVE-2024-6385)https://cn-sec.com/archives/2943295.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息