GitLab身份认证绕过漏洞(CVE-2024-6678)安全风险通告

主要观点总结

本文介绍了GitLab身份认证绕过漏洞的详细信息，包括漏洞编号、公开时间、影响量级、CVSS分数等。漏洞可能会影响特定版本的GitLab CE/EE，攻击者可以绕过身份验证以其他用户的身份触发pipeline。同时提供了影响范围、受影响资产情况、处置建议等相关信息。

关键观点总结

关键观点1: 漏洞概述

GitLab身份认证绕过漏洞（CVE-2024-6678）是一个高危漏洞，攻击者可以在某些情况下以其他用户的身份触发pipeline，从而造成身份验证绕过。

关键观点2: 影响范围

该漏洞影响特定版本的GitLab CE/EE，包括8.14 <= GitLab CE/EE < 17.1.7、17.2 <= GitLab CE/EE < 17.2.5以及17.3 <= GitLab CE/EE < 17.3.2。

关键观点3: 受影响资产情况

该漏洞关联的国内风险资产总数为1256109个，关联IP总数为24463个；全球风险资产总数为1480644个，关联IP总数为58485个。

关键观点4: 处置建议

官方已有可更新版本，受影响用户应升级至最新版本。同时提供了官方补丁下载地址，用户应及时进行安全更新。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-39544,CVE-2024-6678 公开时间 2024-09-11 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.9 威胁类型 身份认证绕过 利用可能性 高 POC状态 未公开 在野利用状态 未发现 EXP状态 未公开 技术细节状态 未公开 危害描述： 攻击者可以在某些情况下以其他用户的身份触发pipeline，从而造成身份验证绕过。 0 1 漏洞详情 > > > > 影响组件 GitLab是一款用于仓库管理的开源项目，它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署（CI/CD）、监控、以及更多的功能。 > > > > 漏洞描述 近日，奇安信CERT监测到官方修复 GitLab身份认证绕过漏洞(CVE-2024-6678) ，攻击者可以在某些情况下以其他用户的身份触发pipeline，从而造成身份验证绕过。 鉴 ………………………………