GitLab 身份驗(yàn)證漏洞(CVE-2024-5655)
- CNNVD編號(hào):未知
- 危害等級(jí): 中危
- CVE編號(hào):CVE-2024-5655
- 漏洞類型: 身份驗(yàn)證漏洞
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時(shí)間:2024-07-03
- 更新時(shí)間:2024-07-03
漏洞簡介
2024年6月28日,深瞳漏洞實(shí)驗(yàn)室監(jiān)測到一則極狐-GitLab代碼托管平臺(tái)組件存在身份驗(yàn)證漏洞的信息,漏洞編號(hào):CVE-2024-5655,漏洞威脅等級(jí):嚴(yán)重。
GitLab 社區(qū)版(CE)和企業(yè)版(EE)存在身份驗(yàn)證漏洞,在某種情況下攻擊者可以利用其他用戶身份觸發(fā)pipeline,導(dǎo)致身份驗(yàn)證被繞過。
漏洞公示
暫無
參考網(wǎng)站
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/
https://hackerone.com/reports/2536320
受影響實(shí)體
目前受影響的極狐-GitLab代碼托管平臺(tái)版本:
15.8.0 ≤ GitLab CE/EE < 16.11.5
17.0.0 ≤ GitLab CE/EE < 17.0.3
17.1.0 ≤ GitLab CE/EE < 17.1.1
補(bǔ)丁
官方修復(fù)建議
1.如何檢測組件系統(tǒng)版本
直接在瀏覽器中輸入極狐GitLab 實(shí)例地址/help,比如:https://your.gitlab.com/help。就能出現(xiàn)一個(gè)界面,界面上有極狐GitLab 的版本信息。
2.官方修復(fù)建議
gitlab官方已發(fā)布最新版本修復(fù)該漏洞,受影響用戶可升級(jí)到安全版本:
下載鏈接:https://packages.gitlab.com/gitlab/gitlab-ee?page=6
