GitLab 披露了一个影响其社区版和企业版的关键漏洞(CVE-2024-6385)。该漏洞允许攻击者以平台内任何用户的身份运行管道作业。鉴于该平台拥有超过 3000 万的广泛用户群,并被《财富》百强企业中一半以上的公司广泛采用,其中包括 T-Mobile、高盛和 Nvidia 等大型企业,其潜在影响是巨大的。
今天发布的安全更新可解决该漏洞,该漏洞的 CVSS 基本分严重性评级为 9.6(满分 10 分)。受影响的版本包括 GitLab CE/EE 15.8 至 16.11.6、17.0 至 17.0.4 和 17.1 至 17.1.2。虽然具体的利用条件尚未完全披露,但 GitLab 已承认,在某些情况下,攻击者可利用此漏洞以任意用户身份启动新的管道进程。鉴于 GitLab 管道在持续集成和部署工作流中的关键作用,该漏洞带来了巨大风险。来源