近日，曝出GitLab 发布了社区版（CE）和企业版（EE）的严重安全更新，以解决八个安全漏洞，漏洞其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的任意关键漏洞 。该漏洞被跟踪为 CVE-2024-9164
，管道CVSS 得分为 9.6（满分 10 分） ，执行攻击者可以在某些情况下以任意用户身份触发Pipeline，曝出可能导致权限提升或执行恶意操作 。严重

GitLab 在一份公告中说 ："在 GitLab EE 中发现了一个漏洞 ，模板下载漏洞影响了从 12.5 开始到 17.2.9 之前的任意所有版本、从 17.3 开始到 17.3.5 之前的管道所有版本
，以及从 17.4 开始到 17.4.2 之前的执行所有版本 。目前 ，曝出GitLab CE/EE 17.1.7，严重17.2.5，漏洞17.3.2及以上版本已修复该漏洞。高防服务器

在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中
，一个被评为严重程度低 ：

CVE-2024-8970（CVSS 得分 ：8.2）
 ，允许攻击者在某些情况下以其他用户身份触发管道CVE-2024-8977（CVSS 得分：8.2） ，允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击CVE-2024-9631 (CVSS score: 7.5)
，可导致在查看有冲突的合并请求的差异时速度变慢CVE-2024-6530 （CVSS 得分 ：7.3） ，服务器租用由于跨站点脚本问题，当授权新应用程序时 ，会在 OAuth 页面中注入 HTML

近几个月来，GitLab 不断披露与管道相关的漏洞
，该公告是其中的最新进展。

近期历史漏洞回顾

GitLab近期频繁披露与管道相关的漏洞 ，源码下载此次更新只是其中的一部分。

上个月
，GitLab修复了另一个关键漏洞（CVE-2024-6678，CVSS得分 ：9.9），该漏洞允许攻击者以任意用户身份运行管道作业。

此前，GitLab还修补了其他三个类似的缺陷——CVE-2023-5009（CVSS得分 ：9.6） 、云计算CVE-2024-5655（CVSS得分 
：9.6）和CVE-2024-6385（CVSS得分：9.6）。

尽管目前没有证据表明这些漏洞已被主动利用 ，但GitLab强烈建议用户将其实例更新至最新版本，以确保系统安全并防范潜在威胁。定期更新和监控是保护关键基础设施免受攻击的重要措施。

GitLab的安全更新反映了当前软件安全环境的动态性
，香港云服务器企业需保持警惕并及时响应安全公告，以维护其数字资产的安全。