CVE-2024-0402：GitLab 建议立即更新

在修补无需用户交互即可接管帐户的安全漏洞后不到两周，GitLab Inc. 再次修补了 GitLab CE/EE 中的一个严重漏洞 (CVE-2024-0402)，并敦促用户立即更新其安装。

GitLab Inc. 运营 GitLab.com（基于 Web 的 Git 存储库）并开发 GitLab 社区版 (CE) 和企业版 (EE)，这是一个广泛使用的软件开发平台，具有内置版本控制、问题跟踪、代码审查等功能。

作为一个自我管理的平台，GitLab可以部署在本地服务器、Kubernetes 或云提供商上。

关于 CVE-2024-0402

CVE-2024-0402 是一个漏洞，可能允许经过身份验证的用户在创建工作区时将文件写入 GitLab 服务器上的任意位置。据推测，该漏洞也可能被利用来传播恶意软件。

由 GitLab 团队成员发现，CVE-2024-0402 已在 GitLab CE/EE 版本 16.5.8、16.6.6、16.7.4 和 16.8.1 中修复。（GitLab v16.8已于本月初发布。）

这些版本中修复的其他安全错误

与此同时，该公司还堵塞了四个中等严重程度的漏洞，这些漏洞可能允许攻击者：

访问或暴露敏感数据（CVE-2023-5933、CVE-2023-5612）

触发 DoS 条件 (CVE-2023-6159)，并且

分配任意用户来合并他们在项目中创建的请求 (CVE-2024-0456)

但必须指出的是，虽然 GitLab CE/EE 版本 16.5.8、16.6.6 和 16.7.4 包含针对所有上述缺陷的补丁，但版本 16.8.1 仅包含 CVE-2024-0402 的补丁。

“GitLab.com 和 GitLab Dedicated 环境已经在运行修补版本，”该公司补充道。