漏洞通报-GitLab身份认证绕过漏洞(CVE-2024-6678)

文章预览

漏洞背景 GitLab 是一款用于仓库管理的开源项目，它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署（CI/CD）、监控、以及更多的功能。 近日，奇安信CERT监测到官方修复 GitLab 身份认证绕过漏洞(CVE-2024-6678)， 攻击者可以在某些情况下以其他用户的身份触发 pipeline ，从而造成身份验证绕过。鉴于此漏洞影 响范围较大，建议客户尽快做好自查及防护。 漏洞信息 漏洞名称: GitLab 身份认证绕过漏洞 CVE 编号: CVE-2024-6678 威胁类型: 身份认证绕过 技术类型: 访问控制不恰当 漏洞描述: 攻击者可以在某些情况下以其他用户的身份触发 pipeline，从而造成身份验证绕过。 影响版本: 8.14  < = GitLab CE/EE  <  17.1.7 17.2  < = GitLab CE/EE  <  17.2.5 17.3  < = GitLab CE/EE  <  17.3.2 危害描述: 攻击者可以在某些情况下以其他用户的身份触发 pipeline ………………………………