【漏洞通告】GitLab权限绕过漏洞（CVE-2024-9164）

主要观点总结

本文介绍了GitLab权限绕过漏洞CVE-2024-9164的相关信息，包括其影响范围和安全措施。该漏洞为高危漏洞，攻击者可利用该漏洞在任意分支上运行GitLab的CI/CD管道，导致执行未授权代码或数据泄露。同时，文章还提到了另外两个GitLab中的漏洞CVE-2024-8970和CVE-2024-8977及其影响范围。

关键观点总结

关键观点1: GitLab权限绕过漏洞CVE-2024-9164

该漏洞的CVSS评分为9.6，威胁者可利用该漏洞在任意分支上运行GitLab的CI/CD管道，执行未授权代码或数据泄露。

关键观点2: 影响范围

描述了CVE-2024-9164、CVE-2024-8970和CVE-2024-8977三个漏洞的影响范围，包括GitLab的不同版本。

关键观点3: 安全措施

提供了针对这些漏洞的安全措施，包括升级版本、加强系统和网络的访问控制、使用企业级安全产品等。

文章预览

一、漏洞 概述 漏洞名称  GitLab权限绕过漏洞 CVE   ID CVE-2024-9164 漏洞类型  认证/权限绕过 发现时间 2024-10-10 漏洞评分 9.6 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。 2024年10月10日，启明星辰集团VSRC监测到GitLab企业版（EE）中修复了一个权限绕过漏洞（CVE-2024-9164），其CVSS评分为9.6，威胁者可利用该漏洞在任意分支上运行GitLab的CI/CD管道，成功利用可能导致执行未授权代码、数据泄露等。 此外，GitLab CE/EE中还修复了一个身份验证绕过漏洞（CVE-2024-8970，CVSS评分8.2），可能导致攻击者在某些情况下以其他用户的身份触发管道；以及修复了GitLab EE中的一个服务器端请求伪造漏洞（CVE-2024-8977， ………………………………