不要等到您的帐户被黑客入侵：CVE-2024-4835 影响每个开发者

严重的 XSS 漏洞为攻击者敞开了大门。

GitLab 发布了其当前产品线的更新，解决了一个危险漏洞，该漏洞允许未经身份验证的攻击者通过 XSS 攻击接管用户帐户。

GitLab 发布更新 XSS

“今天我们发布了 GitLab 社区版 (CE) 和企业版 (EE) 版本 17.0.1、16.11.3 和 16.10.6，”该公司表示。 “这些版本包含重要的错误修复和漏洞，我们强烈鼓励所有 GitLab 用户立即将其安装更新到这些版本之一。”

CVSS 评分为 8.0 的根本问题（报告为 CVE-2024-4835）是 VS 代码编辑器 (Web IDE) 中的 XSS 漏洞。在它的帮助下，攻击者可以使用专门为此创建的页面窃取机密信息。尽管利用此漏洞不需要身份验证，但仍然需要用户交互，这使得攻击变得更加困难。

CVSS CVE-2024-4835，

除了上述问题外，该公司还修复了其他六个中等严重漏洞（CVSS 评分从 4.3 到 6.5），包括通过 Kubernetes 代理服务器进行的 CSRF (CVE-2023-7045) 和一个拒绝服务漏洞，该漏洞允许攻击者破坏 Web 加载（CVE-2024-2874）。

CVE-2023-7045 CVE-2024-2874

完整的漏洞列表及其详细描述可以在此链接中找到。

。

GitLab 经常成为攻击目标，因为它存储各种类型的敏感数据，包括 API 密钥和专有代码。如果攻击者设法将恶意代码集成到组织的 CI/CD 环境中，平台帐户接管可能会造成严重后果，包括供应链攻击。

CISA 警告， CVE-2023-7028，