1.漏洞概述

2024 年 7 月 12 日，安全运营中心监测到 GitLab 账户接管漏洞，漏洞编号：CVE-2024-6385，漏洞威胁等级：高危。

2.漏洞详情

GitLab 是基于 Git 的集成软件开发平台，Pipeline 是自动化的工作流，用于在代码库修改时自动化执行任务。由于对 CVE-2024-5762 的修复不充分，如果目标分支已被删除，当目标 Gitlab 仓库合并攻击者可控的 Merge Request 时可以其它用户的身份运行 Pipeline，导致信息泄露或未授权的代码执行。补丁版本当检测到目标分支被删时不自动创建新的 Pipeline，触发合并检查修复此漏洞。

3.影响版本

15.8<=gitlab<16.11.6

17.0<=gitlab<17.0.4

17.1<=gitlab<17.1.2

4.处置建议

1. 将组件 gitlab 升级至 16.11.6 及以上版本，将组件 gitlab 升级至 17.0.4及以上版本，将组件 gitlab 升级至 17.1.2 及以上版本。https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/

参考链接：

https://github.com/gitlabhq/gitlabhq/commit/4b798c79a7a6408184ea8bb6

bec59d80fccd6968

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651