【安全圈】CVE-2024-8114:GitLab 漏洞允许权限升级
【安全圈】CVE-2024-8114:GitLab 漏洞允许权限升级
安全圈 2024-11-27 11:01
关键词
安全漏洞
GitLab 发布了关键安全更新,以解决影响其社区版 (CE) 和企业版 (EE) 产品的多个漏洞。
17.6.1、17.5.3 和 17.4.5 版本包含重要的漏洞和安全修复,包括针对高严重性权限升级漏洞的补丁。
GitLab 在其安全公告中说:“我们强烈建议所有运行受下述问题影响的版本的系统尽快升级到最新版本。”
最严重的漏洞被认定为 CVE-2024-8114,攻击者如果访问了受害者的个人访问令牌(PAT),就可以提升权限。该漏洞的 CVSSv3 得分为 8.2,影响 8.12(17.4.5 之前)、17.5(17.5.3 之前)和 17.6(17.6.1 之前)的所有 GitLab 版本。
该版本解决的其他漏洞包括:
– 拒绝服务 (DoS) 漏洞:已修补多个 DoS 漏洞,包括一个可通过查看恶意制作的 cargo.toml 文件触发的漏洞 (CVE-2024-8237),以及另一个与 Harbor 注册表集成相关的漏洞 (CVE-2024-8177)。
-
意外访问使用数据:一个可能允许通过作用域令牌未经授权访问敏感数据的漏洞 (CVE-2024-11669) 已得到缓解。
-
资源耗尽和拒绝服务:已解决一个漏洞 (CVE-2024-11828),该漏洞可能允许攻击者通过发送伪造的 API 调用来创建 DoS 条件。
-
流媒体端点漏洞:已修补了一个漏洞 (CVE-2024-11668),该漏洞可允许长期连接绕过身份验证控制。
GitLab 感谢安全研究人员 pwnie、l33thaxor、a92847865 和 luryus 通过 HackerOne 漏洞悬赏计划报告了其中一些漏洞。GitLab 内部团队成员 Dylan Griffith 和 Heinrich Lee Yu 也发现了漏洞。
GitLab 敦促所有用户立即将其安装更新到最新版本,以降低这些安全风险。
END
阅读推荐
【安全圈】微软给Windows 11添加新选项允许打开任意文件夹最终都在新选项卡中打开
【安全圈】Ubuntu 20.04 LTS版即将5年主流结束 除非订阅ESM否则明年4月将无法更新
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!