GitLab警告关键流水线执行漏洞

GitLab发布了关键更新以解决18个安全漏洞,其中最严重的是CVE-2024-6678,它可能允许攻击者以任意用户身份触发流水线执行。此漏洞影响从8.14到17.1.7版本、17.2之前的17.2版本和17.3之前的17.3.2版本,严重性评分为9.9,因为它可能被远程利用、缺乏用户交互且低权限要求。

这些更新适用于GitLab社区版(CE)和企业版(EE)。GitLab强烈建议立即升级所有运行受影响版本的安装,以减轻这些安全风险。流水线执行功能是GitLab CI/CD系统不可或缺的一部分,用于自动化软件开发过程。

除了CVE-2024-6678之外,GitLab之前还解决了多个关键的流水线执行漏洞,包括2024年7月的CVE-2024-6385、2024年6月的CVE-2024-5655和2023年9月的CVE-2023-5009。当前公告还提到了四个严重性高的问题,得分在6.7到8.5之间,可能会中断服务或损害敏感资源。来源