GitLab 修复高危的账户接管和认证缺失漏洞

admin 2025年6月14日00:21:19评论22 views字数 852阅读2分50秒阅读模式

GitLab 修复高危的账户接管和认证缺失漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布安全更新,修复了该公司 DevSecOps 平台中的多个漏洞,其中一些可导致攻击者接管账户并在未来的管道中注入恶意任务。
GitLab 修复高危的账户接管和认证缺失漏洞

GitLab 发布GitLab 社区版和企业版18.0.2、17.11.4和17.10.8,修复了这些漏洞并督促所有管理员立即升级。该公司提醒称,“这些版本中包含重要的漏洞和安全修复方案,我们强烈建议所有的自管理 GitLab 立即升级至这些版本。GitLab.com已运行已修复版本。GitLab Dedicated 客户无需采取任何措施。”

本周三,GitLab 修复了一个HTML注入漏洞CVE-2025-4278,它可导致远程攻击者将恶意代码注入搜索页面,接管账户。GitLab 还发布了影响 GitLab Ultimate EE的授权缺失问题CVE-2025-5121,它可导致远程威胁人员将恶意CI/CD任务注入任何项目的未来CI/CD管道中。

GitLab 管道是一个CI/CD系统特性,可使用户按序构建、测试或部署代码变更或平行自动运行进程和任务。然而,成功利用该漏洞要求攻击者对具有 GitLab Ultimate 许可证的 GitLab 实例拥有认证权限。

GitLab 公司还修复了一个XSS漏洞CVE-2025-2254(可导致攻击者在合法用户的上下文中执行任何操作)和一个DoS 漏洞CVE-2025-0673(可导致恶意人员触发无限的重定向循环,导致内存耗尽和合法用户拒绝访问)。

GitLab 仓库中包含敏感信息和数据,因此常常成为被攻击的目标。最近跨国汽车租赁公司 Europcar Mobility Group和教育巨头Pearson 的 GitLab 仓库自去年年初开始就被攻陷。

GitLab 的DevSecOps 平台拥有3000多万名注册用户,用于超过50%的财富100强公司,如高盛、Airbus、T-Mobile、Lockheed Martin、英伟达和UBS等。

原文始发于微信公众号(代码卫士):GitLab 修复高危的账户接管和认证缺失漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月14日00:21:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitLab 修复高危的账户接管和认证缺失漏洞https://cn-sec.com/archives/4163676.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息