漏洞通报-GitLab身份认证绕过漏洞(CVE-2024-6678)

admin 2024年9月13日13:23:12评论64 views字数 731阅读2分26秒阅读模式

漏洞背景

GitLab 是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控、以及更多的功能。 近日,奇安信CERT监测到官方修复 GitLab 身份认证绕过漏洞(CVE-2024-6678),攻击者可以在某些情况下以其他用户的身份触发 pipeline,从而造成身份验证绕过。鉴于此漏洞影 响范围较大,建议客户尽快做好自查及防护。

漏洞信息

漏洞名称:

GitLab 身份认证绕过漏洞

CVE 编号:

CVE-2024-6678

威胁类型:

身份认证绕过

技术类型:

访问控制不恰当

漏洞描述:

攻击者可以在某些情况下以其他用户的身份触发 pipeline,从而造成身份验证绕过。

影响版本:

8.14 <= GitLab CE/EE < 17.1.7
17.2 <= GitLab CE/EE < 17.2.5
17.3 <= GitLab CE/EE < 17.3.2

危害描述:

攻击者可以在某些情况下以其他用户的身份触发 pipeline,从而造成身份验证绕过。

受影响资产情况

GitLab 身份认证绕过漏洞(CVE-2024-6678)关联的全球风险资产总数为 1480644 个,关 联 IP 总数为 58485 个。全球风险资产分布情况如下:

漏洞通报-GitLab身份认证绕过漏洞(CVE-2024-6678)

处置建议

目前官方已有可更新版本,建议受影响用户升级至最新版本:

GitLab CE/EE >= 17.1.7
GitLab CE/EE 17.2.* >= 17.2.5
GitLab CE/EE 17.3.* >= 17.3.2

官方补丁下载地址: https://about.gitlab.com/update

原文始发于微信公众号(小艾搞安全):漏洞通报-GitLab身份认证绕过漏洞(CVE-2024-6678)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日13:23:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞通报-GitLab身份认证绕过漏洞(CVE-2024-6678)https://cn-sec.com/archives/3161259.html

发表评论

匿名网友 填写信息