聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitLab 发布GitLab 社区版和企业版18.0.2、17.11.4和17.10.8,修复了这些漏洞并督促所有管理员立即升级。该公司提醒称,“这些版本中包含重要的漏洞和安全修复方案,我们强烈建议所有的自管理 GitLab 立即升级至这些版本。GitLab.com已运行已修复版本。GitLab Dedicated 客户无需采取任何措施。”
本周三,GitLab 修复了一个HTML注入漏洞CVE-2025-4278,它可导致远程攻击者将恶意代码注入搜索页面,接管账户。GitLab 还发布了影响 GitLab Ultimate EE的授权缺失问题CVE-2025-5121,它可导致远程威胁人员将恶意CI/CD任务注入任何项目的未来CI/CD管道中。
GitLab 管道是一个CI/CD系统特性,可使用户按序构建、测试或部署代码变更或平行自动运行进程和任务。然而,成功利用该漏洞要求攻击者对具有 GitLab Ultimate 许可证的 GitLab 实例拥有认证权限。
GitLab 公司还修复了一个XSS漏洞CVE-2025-2254(可导致攻击者在合法用户的上下文中执行任何操作)和一个DoS 漏洞CVE-2025-0673(可导致恶意人员触发无限的重定向循环,导致内存耗尽和合法用户拒绝访问)。
GitLab 仓库中包含敏感信息和数据,因此常常成为被攻击的目标。最近跨国汽车租赁公司 Europcar Mobility Group和教育巨头Pearson 的 GitLab 仓库自去年年初开始就被攻陷。
GitLab 的DevSecOps 平台拥有3000多万名注册用户,用于超过50%的财富100强公司,如高盛、Airbus、T-Mobile、Lockheed Martin、英伟达和UBS等。
原文始发于微信公众号(代码卫士):GitLab 修复高危的账户接管和认证缺失漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论