7月10日GitLab發布社群版(CCE)及企業版(EE)更新17.1.2、17.0.4、16.11.6版,當中總共修補6項漏洞,其中最值得留意的,是被列為重大層級風險的CVE-2024-6385。

這項漏洞影響15.8至16.11.5版、17.0至17.0.3版,以及17.1至17.1.3版GitLab,一旦攻擊者利用這項漏洞,就有機會在特定情況下,冒用任意使用者身分執行Pipeline工作流程,CVSS風險評為9.6分。

值得留意的是,兩周前GitLab也修補類似的漏洞CVE-2024-5655,同樣能導致攻擊者冒用他人身分,執行Pipeline工作流程,危險程度也同樣達到CVSS評分9.6。當時,開發團隊也特別指出更新後可能會出現重大變更,要使用者部署前特別留意。

另一個本次修補較為嚴重的漏洞是CVE-2024-5257,為中度風險層級,CVSS風險評為4.9分。當開發人員透過名為admin_compliance_framework的角色,有可能更動用於名稱空間(namespace)群組的URL。

熱門新聞

Advertisement