GitLab 针对关键漏洞发布紧急安全补丁

GitLab 已提供安全补丁，以解决允许攻击者以其他用户身份运行管道的严重缺陷。

该问题被跟踪为 CVE-2023-5009（CVSS 分数：9.6），影响从 13.12 和更低版本以及 16.2 和 7.16.3 之前的所有 GitLab 企业版 （EE） 版本。

“攻击者有可能通过计划的安全扫描策略以任意用户身份运行管道，”GitLab在一份公告中说。“这是绕过 CVE-2023-3932 的，显示出额外的影响。”

成功利用 CVE-2023-5009 可能允许威胁参与者访问敏感信息或利用模拟用户的提升权限修改源代码或在系统上运行任意代码，从而导致严重后果。

安全研究员Johan Carlsson（又名joaxcar）因发现并报告该漏洞而受到赞誉。GitLab 于 2023 年 3932 月初解决了 CVE-2023-<>。

该漏洞已在 GitLab 版本 16.3.4 和 16.2.7 中得到解决。
该披露是因为一个两年前的关键 GitLab 错误（CVE-2021-22205，CVSS 分数：10.0）继续被威胁行为者在现实世界的攻击中积极利用。

本周早些时候，趋势科技透露，一个名为 Earth Lusca 的与中国有联系的对手正在通过武器化 N 日安全漏洞（包括 CVE-2021-22205）来渗透受害者网络，从而积极瞄准面向公众的服务器。

强烈建议用户尽快将其 GitLab 安装更新到最新版本，以防止潜在风险。