GitLab存在重大漏洞，攻擊者可冒用任意用戶身分執行Pipeline工作流程

6月26日GitLab針對社群版（CE）及企業版（EE）發布重大修補更新17.1.1、17.0.3、16.11.5版，總共修補14個漏洞，其中最值得留意的部分，是列為重大層級的CVE-2024-5655，CVSS風險評為9.6分。

這項漏洞影響15.8至16.11.4、17.0.0 至17.0.2，以及17.1.0至17.1.0版，無論CE或EE版都會受到影響。開發團隊指出，一旦攻擊者觸發漏洞，就可能在特定情況下，以其他使用者的身分存取Pipeline工作流程。

雖然目前此漏洞尚未出現遭到利用的跡象，但有鑑於資安問題極為嚴重，開發團隊呼籲使用者應儘速套用新版程式。

但由於這項漏洞涉及Pipeline，開發團隊也指出更新後會出現兩項重大變更。

其中一項是合併請求（Ｍerge Requests，MR）進到單一目標的工作流程會受到改變，因先前的目標分支遭到合併而導致合併請求需自動重新調整進入的目標，導致含有這類流程的Pipeline可能無法自動執行。使用者必須手動啟動Pipeline，才能讓持續整合（CI）執行相關變更。

另一個則與身分驗證有關。透過CI_JOB_TOKEN進行的GraphQL身分驗證機制，在本次更新版本皆預設為停用，使用者若要存取GraphQL的API，必須指定其中一種Token進行驗證。