GitLab 周三发布了安全更新,以解决 17 个安全漏洞,包括一个允许攻击者以任意用户身份运行管道作业的关键缺陷。
该问题被跟踪为 CVE-2024-6678,CVSS 评分为 9.9 分(满分 10.0 分)
该公司在警报中表示:“在 GitLab CE/EE 中发现一个问题,影响从 8.14 到 17.1.7、从 17.2 到 17.2.5 以及从 17.3 到 17.3.2 的所有版本,这允许攻击者在某些情况下以任意用户身份触发管道。
该漏洞以及 3 个高严重性、11 个中等严重性和 2 个低严重性错误已在极狐GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。
值得注意的是,CVE-2024-6678 是继 CVE-2023-5009(CVSS 评分:9.6)、CVE-2024-5655(CVSS 评分:9.6)和 CVE-2024-6385(CVSS 评分:9.6)之后,GitLab 在过去一年中修补的第四个此类漏洞。
虽然没有证据表明这些漏洞被积极利用,但建议用户尽快应用补丁以减轻潜在威胁。
今年 5 月初,美国网络安全和基础设施安全局 (CISA) 透露,一个关键的 GitLab 漏洞(CVE-2023-7028,CVSS 评分:10.0)已在野外被积极利用。
发表评论
您还未登录,请先登录。
登录