漏洞背景
近日,嘉诚安全监测到GitLab社区版(CE)和企业版(EE)中修复了3个漏洞,分别是:GitLab访问控制不当漏洞(CVE-2024-6678)、GitLab命令注入漏洞(CVE-2024-8640)和GitLab服务端请求伪造漏洞(CVE-2024-8635)。
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1、CVE-2024-6678
GitLab访问控制不当漏洞,经研判,该漏洞为高危漏洞。攻击者可以在某些情况下以其他用户的身份触发pipeline,从而造成身份验证绕过。
2、CVE-2024-8640
GitLab命令注入漏洞,经研判,该漏洞为高危漏洞。由于输入过滤不当,可能导致将命令注入连接的Cube服务器。
3、CVE-2024-8635
GitLab服务端请求伪造漏洞,经研判,该漏洞为高危漏洞。可能导致攻击者使用自定义Maven Dependency Proxy URL向内部资源发出请求,获取敏感信息或执行其他恶意操作。
危害影响
影响版本:
CVE-2024-6678
8.14 <= GitLab CE/EE < 17.1.7
17.2 <= GitLab CE/EE < 17.2.5
17.3 <= GitLab CE/EE < 17.3.2
CVE-2024-8640
16.11 <= GitLab EE < 17.1.7
17.2 <= GitLab EE < 17.2.5
17.3 <= GitLab EE < 17.3.2
CVE-2024-8635
16.8 <= GitLab EE < 17.1.7
17.2 <= GitLab EE < 17.2.5
17.3 <= GitLab EE < 17.3.2
修复建议
目前这些漏洞已经修复,受影响用户可升级到GitLab CE/EE 17.3.2、17.2.5、17.1.7或更高版本。
下载链接:
https://about.gitlab.com/update/
参考链接:
https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/
https://nvd.nist.gov/vuln/detail/CVE-2024-6678
原文始发于微信公众号(嘉诚安全):【漏洞通告】GitLab多个高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论