【漏洞通告】GitLab访问控制不当漏洞（CVE-2024-6385）

文章预览

一、漏洞 概述 漏洞名称 GitLab访问控制不当漏洞 CVE   ID CVE-2024-6385 漏洞类型 访问控制不当 发现时间 2024-07-11 漏洞评分 9.6 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。 2024年7月11日，启明星辰集团VSRC监测到GitLab社区版（CE）和企业版（EE）中修复了一个访问控制不当漏洞（CVE-2024-6385），其CVSS评分为9.6，成功利用该漏洞可能导致威胁者在某些情况下以其他用 户的身份触发pipeline。 二、影响范围 15.8 < = GitLab CE/EE < 16.11.6 17.0 < = GitLab CE/EE < 17.0.4 17.1 < = GitLab CE/EE < 17.1.2 三、安全措施 3.1 升级版本 目前该漏洞已经修复，受影响用户可升级到GitLab CE/EE版本17.1.2、17.0.4、16.11.6或更高版本。 下载 ………………………………