本周四GitLab發布警告稱GitLab社區版（CE）和企業版（EE）中發現一個嚴重的賬戶接管漏洞，攻擊者可以任何其他用戶的身份運行管道任務。GitLab同時發布了GitLab Community and Enterprise版本17.1.2、17.0.4和16.11.6以修補該漏洞，并建議所有管理員立即升級所有安裝。

GitLab DevSecOps平臺擁有超過3000萬注冊用戶，被超過50%的財富100強企業使用，包括T-Mobile、高盛、空客、洛克希德馬丁、英偉達和瑞銀等。

GitLab今天發布的安全更新中修補的漏洞編號為CVE-2024-6385，CVSS嚴重性評分高達9.6分（滿分10分）。

該漏洞會影響從15.8到16.11.6、17.0到17.0.4和17.1到17.1.2的所有GitLabCE/EE版本，攻擊者可以利用它來以任意用戶的身份觸發新的管道。

GitLab管道是一個持續集成/持續部署（CI/CD）系統功能，允許用戶自動并行或順序運行流程和任務，以開發、測試或部署代碼更改。

“我們強烈建議所有運行受下述問題影響的版本的安裝盡快升級到最新版本，”GitLab警告說：“GitLab.com和GitLab Dedicated已經在運行補丁版本了。”

GitLab接連曝出帳戶接管漏洞

今年上半年GitLab接連曝出賬戶接管漏洞，其中一些已經在野外被積極利用。

GitLab在6月下旬剛剛修補了一個幾乎相同的賬戶接管漏洞（跟蹤為CVE-2024-5655），該漏洞也可被攻擊者利用以其他用戶的身份運行管道。

一個月前，GitLab還修復了另外一個高嚴重性漏洞（CVE-2024-4835），該漏洞使未經身份驗證的攻擊者能夠通過跨站點腳本（XSS）攻擊接管帳戶。

CISA在5月份曾警告稱，攻擊者也在積極利用1月份修補的另一個零點擊GitLab漏洞（CVE-2023-7028）。此漏洞允許未經身份驗證的攻擊者通過密碼重置劫持帳戶。

Shadowserver在1月份發現了超過5300個易受攻擊的GitLab實例，但今天仍然可以訪問的只有不到一半（1795個）。

攻擊者熱衷以GitLab為目標，因為后者托管各種類型的敏感企業數據，包括API密鑰和專有代碼，泄露后往往造成重大安全影響。例如，攻擊者可在CI/CD（持續集成/持續部署）環境中插入惡意代碼，從而危及被破壞組織的代碼庫，進而實施供應鏈攻擊。