GitLab修補重大層級的管道執行漏洞

上週GitLab發布社群版（CE）及企業版（EE）17.3.2、17.2.5、17.1.7版更新，總共修補17個漏洞，其中最值得留意的是被列為重大層級的CVE-2024-6678，此漏洞影響8.14以後的版本，允許攻擊者在特定的環境下，以任意使用者觸發自動化工作Pipeline機制，CVSS風險評為9.9分（滿分10分）。

值得留意的是，針對能濫用Pipeline機制的漏洞，GitLab已在6月、7月修補相關漏洞。今年6月，他們修補了CVE-2024-5655，隔月緩解CVE-2024-6385，這兩個漏洞皆為重大層級，CVSS風險評分為9.6。

附帶一提的是，這次GitLab也公布4個高風險漏洞，分別是：CVE-2024-8124、CVE-2024-8635、CVE-2024-8640、CVE-2024-8641，CVSS評分介於6.7至8.5。