GitLab發布社群版及企業版更新，修補能讓任意用戶執行自動化工作Pipeline的重大漏洞

7月10日GitLab發布社群版（CCE）及企業版（EE）更新17.1.2、17.0.4、16.11.6版，當中總共修補6項漏洞，其中最值得留意的，是被列為重大層級風險的CVE-2024-6385。

這項漏洞影響15.8至16.11.5版、17.0至17.0.3版，以及17.1至17.1.3版GitLab，一旦攻擊者利用這項漏洞，就有機會在特定情況下，冒用任意使用者身分執行Pipeline工作流程，CVSS風險評為9.6分。

值得留意的是，兩周前GitLab也修補類似的漏洞CVE-2024-5655，同樣能導致攻擊者冒用他人身分，執行Pipeline工作流程，危險程度也同樣達到CVSS評分9.6。當時，開發團隊也特別指出更新後可能會出現重大變更，要使用者部署前特別留意。

另一個本次修補較為嚴重的漏洞是CVE-2024-5257，為中度風險層級，CVSS風險評為4.9分。當開發人員透過名為admin_compliance_framework的角色，有可能更動用於名稱空間（namespace）群組的URL。