北京赛克艾威科技有限公司 2024-07-11
GitLab 是基于Git的集成软件开发平台,Pipeline 是自动化的工作流,用于在代码库修改时自动化执行任务。 由于对 CVE\-2024\-5762 的修复不充分,如果目标分支已被删除,当目标Gitlab仓库合并攻击者可控的Merge Request时可以其它用户的身份运行 Pipeline,导致信息泄露或未授权的代码执行。 补丁版本当检测到目标分支被删时不自动创建新的 Pipeline,触发合并检查修复此漏洞。
1. 将组件 gitlab 升级至 16.11.6 及以上版本 2. 将组件 gitlab 升级至 17.0.4 及以上版本 3. 将组件 gitlab 升级至 17.1.2 及以上版本
https://www.oscs1024.com/hd/MPS-eni3-ztyc
https://nvd.nist.gov/vuln/detail/CVE-2024-6385
https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released
https://github.com/gitlabhq/gitlabhq/commit/4b798c79a7a6408184ea8bb6bec59d80fccd6968