GitLab 修补了允许未经授权执行流水线作业的关键漏洞

阅读量57131

发布时间 : 2024-09-13 15:07:29

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html

译文仅供参考,具体内容表达以及含义原文为准。

GitLab 周三发布了安全更新,以解决 17 个安全漏洞,包括一个允许攻击者以任意用户身份运行管道作业的关键缺陷。

该问题被跟踪为 CVE-2024-6678,CVSS 评分为 9.9 分(满分 10.0 分)

该公司在警报中表示:“在 GitLab CE/EE 中发现一个问题,影响从 8.14 到 17.1.7、从 17.2 到 17.2.5 以及从 17.3 到 17.3.2 的所有版本,这允许攻击者在某些情况下以任意用户身份触发管道。

该漏洞以及 3 个高严重性、11 个中等严重性和 2 个低严重性错误已在极狐GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。

值得注意的是,CVE-2024-6678 是继 CVE-2023-5009(CVSS 评分:9.6)、CVE-2024-5655(CVSS 评分:9.6)和 CVE-2024-6385(CVSS 评分:9.6)之后,GitLab 在过去一年中修补的第四个此类漏洞。

虽然没有证据表明这些漏洞被积极利用,但建议用户尽快应用补丁以减轻潜在威胁。

今年 5 月初,美国网络安全和基础设施安全局 (CISA) 透露,一个关键的 GitLab 漏洞(CVE-2023-7028,CVSS 评分:10.0)已在野外被积极利用。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66