您现在的位置是：首页 > 文章详情

Gitlab 存在 Pipeline 任意用户执行风险(CVE-2024-5762绕过)

日期：2024-07-11点击：236收藏

漏洞描述

GitLab 是基于Git的集成软件开发平台，Pipeline 是自动化的工作流，用于在代码库修改时自动化执行任务。

由于对 CVE-2024-5762 的修复不充分，如果目标分支已被删除，当目标Gitlab仓库合并攻击者可控的Merge Request时可以其它用户的身份运行 Pipeline，导致信息泄露或未授权的代码执行。

补丁版本当检测到目标分支被删时不自动创建新的 Pipeline，触发合并检查修复此漏洞。

漏洞名称	Gitlab 存在 Pipeline 任意用户执行风险(CVE-2024-5762绕过)
漏洞类型	身份验证不当
发现时间	2024-07-11
漏洞影响广度	-
MPS编号	MPS-eni3-ztyc
CVE编号	CVE-2024-6385
CNVD编号	-

gitlab@[15.8, 16.11.6)

gitlab@[17.0, 17.0.4)

gitlab@[17.1, 17.1.2)

将组件 gitlab 升级至 17.1.2 及以上版本

将组件 gitlab 升级至 16.11.6 及以上版本

将组件 gitlab 升级至 17.0.4 及以上版本

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。