2024年7月11日,网上更新披露了一个GitLab身份认证绕过漏洞(CVE-2024-6385),GitLab 是基于Git的集成软件开发平台,Pipeline 是自动化的工作流,用于在代码库修改时自动化执行任务,请各位用户尽快安装漏洞补丁。
漏洞风险:由于对 CVE-2024-5762 的修复不充分,如果目标分支已被删除,当目标Gitlab仓库合并攻击者可控的Merge Request时可以其它用户的身份运行 Pipeline,导致信息泄露或未授权的代码执行。补丁版本当检测到目标分支被删时不自动创建新的 Pipeline,触发合并检查修复此漏洞。
风险等级:高风险。
影响范围:
gitlab@[15.8, 16.11.6)
gitlab@[17.0, 17.0.4)
gitlab@[17.1, 17.1.2)
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://github.com/gitlabhq/gitlabhq/tags
