GitLab EE 权限绕过漏洞(CVE-2024-9164)安全风险通告

主要观点总结

这篇文章主要介绍了GitLab EE权限绕过漏洞，包括漏洞名称、编号、公开时间、影响量级、CVSS分数、威胁类型等详细信息。同时，文章还提供了漏洞详情、影响范围、受影响资产情况、处置建议、参考资料、时间线和漏洞情报服务等相关内容。

关键观点总结

关键观点1: 漏洞概述

GitLab EE存在权限绕过漏洞，攻击者可以在某些情况下以其他用户的身份利用该漏洞在GitLab的任意分支上执行管道，可能执行恶意代码或泄露敏感信息。

关键观点2: 影响范围

漏洞影响版本为GitLab EE 12.5 <= 版本 < 17.2.9、17.3 <= 版本 < 17.3.5、17.4 <= 版本 < 17.4.2。国内风险资产总数为1500205个，关联IP总数为27508个；全球风险资产总数为1700452个，关联IP总数为65420个。

关键观点3: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本。同时提供了官方补丁下载地址。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 GitLab EE 权限绕过漏洞 漏洞编号 QVD-2024-42207,CVE-2024-9164 公开时间 2024-10-09 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.6 威胁类型 权限绕过 利用可能性 高 POC状态 未公开 在野利用状态 未发现 EXP状态 未公开 技术细节状态 未公开 危害描述： 攻击者可以在某些情况下以其他用户的身份利用该漏洞在GitLab的任意分支上执行管道，从而可能执行恶意代码或泄露敏感信息。 0 1 漏洞详情 > > > > 影响组件 GitLab是一款用于仓库管理的开源项目，它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署（CI/CD）、监控、以及更多的功能。 > > > > 漏洞描述 近日，奇安信CERT监测到官方修复 GitLab EE 权限绕过漏洞(CVE-2024-9164) ，攻击者可以在某些情况下以其他用户的身份利 ………………………………