详细内容或原文请订阅后点击阅览
GitLab:紧急更新以保护 CI/CD 流程
GitLab 中的漏洞允许操纵管道。
来源:安全实验室新闻频道GitLab 中的漏洞允许操纵管道。
GitLab 报告了其 GitLab 社区和 GitLab Enterprise 产品中的一个严重漏洞,该漏洞允许攻击者以任何用户身份运行管道。
GitLab 报告CVE-2024-6385(CVSS 评分 9.6)影响 GitLab CE/EE 版本 15.8 至 16.11.6、17.0 至 17.0.4 和 17.1 至 17.1.2。在 GitLab 尚未披露的某些条件下,攻击者可以利用该缺陷以任意用户身份启动新管道。
CVE-2024-6385 CVSSGitLab 管道是持续集成/持续部署 (CI/CD) 系统的关键部分,它允许用户自动运行流程和任务来构建、测试和部署代码更改。
利用该漏洞可能会导致严重后果,包括如果攻击者将恶意代码注入 CI/CD 环境,从而危及组织的存储库,则会导致供应链受损。
该公司已发布 GitLab 社区版和企业版 17.1.2、17.0.4 和 16.11.6 的更新来解决该漏洞,并强烈鼓励管理员立即将所有安装更新到最新版本。