5月22日GitLab發布社群版(CE)及企業版(EE)的17.0.1、16.11.3、16.10.6更新,當中修補7個漏洞,其中有1個被列為高風險層級,而特別值得留意。

這項高風險漏洞是CVE-2024-4835,為一鍵點擊的帳號挾持漏洞,攻擊者可製作惡意網頁,在未經身分驗證的情況下,利用Visual Studio Code程式碼編輯器(網頁IDE)觸發漏洞進行跨網站指令碼(XSS)攻擊,從而洩漏使用者機敏資訊,進而有機會接管帳號,CVSS風險評為8.0分。

其餘中等層級的漏洞當中,危險程度較高的是:runner說明欄位的阻斷服務(DoS)漏洞CVE-2024-2874、K8s叢集整合的跨網站偽造請求(CSRF)漏洞CVE-2023-7045等,上述漏洞的CVSS風險評分為6.5、5.4。

熱門新聞

Advertisement