找回密码 立即注册
查看: 141|回复: 0

GitLab 修补了允许未经授权执行流水线作业的关键漏洞

[复制链接]

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
发表于 2024-9-13 16:38:41 | 显示全部楼层 |阅读模式

GitLab 周三发布了安全更新,以解决 17 个安全漏洞,包括一个允许攻击者以任意用户身份运行管道作业的关键缺陷。

该问题被跟踪为 CVE-2024-6678,CVSS 评分为 9.9 分(满分 10.0 分)

该公司在警报中表示:“在 GitLab CE/EE 中发现一个问题,影响从 8.14 到 17.1.7、从 17.2 到 17.2.5 以及从 17.3 到 17.3.2 的所有版本,这允许攻击者在某些情况下以任意用户身份触发管道。

该漏洞以及 3 个高严重性、11 个中等严重性和 2 个低严重性错误已在极狐GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。

值得注意的是,CVE-2024-6678 是继 CVE-2023-5009(CVSS 评分:9.6)、CVE-2024-5655(CVSS 评分:9.6)和 CVE-2024-6385(CVSS 评分:9.6)之后,GitLab 在过去一年中修补的第四个此类漏洞。

虽然没有证据表明这些漏洞被积极利用,但建议用户尽快应用补丁以减轻潜在威胁。

今年 5 月初,美国网络安全和基础设施安全局 (CISA) 透露,一个关键的 GitLab 漏洞(CVE-2023-7028,CVSS 评分:10.0)已在野外被积极利用。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表