GitLab身份认证绕过漏洞(CVE-2024-6385)

admin
admin
admin
138658
文章
114
评论
2024年7月11日21:38:02评论62 views字数 710阅读2分22秒阅读模式
预警公告 严重

近日,安全聚实验室监测到 GitLab CE/EE中存在身份认证绕过漏洞 ,编号为:CVE-2024-6385,CVSS:9.6  攻击者可以通过此漏洞触发其他用户的pipeline,从而造成身份验证绕过。

01

漏洞描述

GitLab是一个基于Web的Git仓库管理工具,分为社区版(GitLab CE)和企业版(GitLab EE)。GitLab CE是开源版本,提供基本的代码仓库管理、问题跟踪、持续集成等功能;GitLab EE则是企业版,提供更多高级功能,如审计日志、更强大的权限管理、高可用性支持等。GitLab CE/EE中的Pipeline是自动化的任务和操作序列,用于构建、测试和部署代码。此漏洞允许攻击者在特定条件下以任意用户的身份触发pipeline,从而造成身份验证绕过。

02

影响范围

17.1 <= GitLab CE/EE <= 17.1.1
17.0 <= GitLab CE/EE <= 17.0.3
15.8 <= GitLab CE/EE <= 16.11.5

03

安全措施

目前厂商已发布可更新版本,建议用户尽快更新至 GitLab CE/EE的修复版本或更高的版本:
GitLab CE/EE >= 17.1.2
GitLab CE/EE >= 17.0.4
GitLab CE/EE >= 16.11.6
下载链接:
https://about.gitlab.com/update

04

参考链接

1.https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/

原文始发于微信公众号(安全聚):【漏洞预警】GitLab身份认证绕过漏洞(CVE-2024-6385)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月11日21:38:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitLab身份认证绕过漏洞(CVE-2024-6385)http://cn-sec.com/archives/2943906.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息