CNNVD关于GitLab安全漏洞的通报

漏洞情况

近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷服务器。GitLab多个版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认GitLab版本,尽快采取修补措施。

一、漏洞介绍

GitLab是美国GitLab公司的一款软件项目仓库应用程序,具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab存在一个身份验证绕过漏洞,攻击者可以通过某种方式利用其他用户身份触发pipeline,从而绕过身份验证,导致仓库数据泄露,进而攻陷服务器。

二、危害影响

GitLab CE/EE 8.14 至GitLab CE/EE17.1.7之前版本、GitLab CE/EE 17.2至GitLab CE/EE 17.2.5之前版本、GitLab CE/EE 17.3 至GitLab CE/EE 17.3.2之前版本均受该漏洞影响。

三、修复建议

目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方升级链接:https://about.gitlab.com/update



来源:国家信息安全漏洞库(CNNVD)

最后更新:2024年09月14日 10:20