GitLab 修复一个9.9分漏洞，允许未经授权执行管道作业

文章预览

GitLab 本周三发布了一个安全更新，以修复多个安全漏洞，其中最严重的漏洞（CVE-2024-6678，CVSS评分9.9）允许攻击者在特定条件下以任意用户身份触发管道。 GitLab 管道是一种自动化工作流程，用于构建、测试和部署代码，是 GitLab 的 CI/CD（持续集成/持续交付）系统的一部分。它们旨在通过自动化重复任务并确保对代码库的更改得到一致的测试和部署，从而简化软件开发过程。 该漏洞的严重性来自于其远程利用的可能性、无需用户交互以及低权限要求，可让攻击者以停止操作作业的所有者身份执行环境停止操作。GitLab 警告称，该问题影响 CE/EE 版本8.14 至17.1.7、17.2 至17.2.5 以及17.3 至17.3.2。 值得注意的是，GitLab 在最近几个月多次对管道执行漏洞进行了修复，例如2024 年 7 月修复 CVE-2024-6385、2024 年 6 月修复 CVE-2024-5655 以及 2023 年 9 月修复 CVE-2023-5009，所 ………………………………