GitLab 曝出严重漏洞，可能导致任意 CI/CD 管道执行

文章预览

近日，GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的关键漏洞。 该漏洞被跟踪为 CVE-2024-9164，CVSS 得分为 9.6（满分 10 分），攻击者可以在某些情况下以任意用户身份触发Pipeline，可能导致权限提升或执行恶意操作 。 GitLab 在一份公告中说："在 GitLab EE 中发现了一个漏洞，影响了从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本，以及从 17.4 开始到 17.4.2 之前的所有版本。目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修复该漏洞。 在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低： CVE-2024-8970（CVSS 得分：8.2），允许攻击者在某些情况下以其他用户身份触发管道 CVE-2024-8977（CVSS ………………………………