紧急：GitLab 修补允许未经授权的管道作业执行的严重缺陷

GitLab 周三发布了安全更新，解决了 17 个安全漏洞，其中包括一个允许攻击者以任意用户身份运行管道作业的严重漏洞。

该漏洞编号为 CVE-2024-6678，CVSS 评分为 9.9（满分 10.0）。

该公司在警报中表示：“GitLab CE/EE 中发现一个问题，影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本，该漏洞允许攻击者在某些情况下以任意用户身份触发管道。”

该漏洞以及其他3 个高严重程度漏洞、11 个中严重程度漏洞和 2 个低严重程度漏洞已在 GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。

值得注意的是，CVE-2024-6678 是 GitLab 在过去一年中修补的第四个此类漏洞，此前的漏洞有CVE-2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用这些漏洞，但建议用户尽快应用补丁以减轻潜在威胁。

今年 5 月初，美国网络安全和基础设施安全局 (CISA)透露，一个严重的 GitLab 漏洞 (CVE-2023-7028，CVSS 评分：10.0) 已被广泛利用。

链接：

https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html

讲述普通人能听懂的安全故事