处理了多个 GitLab 漏洞 媒体

GitLab 更新修复多项安全漏洞

关键要点

GitLab 最近发布的更新修复了多个安全漏洞，具体内容见 BleepingComputer 的报道。这些更新主要集中在其社区版和企业版的软件上。

最令人关注的修复是一个高危跨站脚本漏洞，编号为 CVE20244835，位于 Web IDE VS 代码编辑器中。根据 GitLab 的说法，这个漏洞可能被攻击者利用，进而劫持用户账户并窃取受限信息。

除了上述漏洞，GitLab 还修复了一个中危的拒绝服务漏洞CVE20242874，以及一个中危的跨站请求伪造CSRF漏洞CVE20237045。另外，还有四个中危漏洞可能会被利用，以便未授权访问私有项目的依赖列表、维基渲染 API/Page 重做以及不当的流水线创建。随着针对 GitLab 账户的攻击日益增多，供应链攻击风险加大，因此紧急呼吁用户立即部署更新的 GitLab 软件版本。

当前，有超过 2000 个受到最高危零点击账户劫持漏洞CVE20237028影响的 GitLab 实例，至今仍面临攻击风险。这一漏洞的解决已经被美国网络安全和基础设施安全局CISA要求各联邦机构迅速处理，但依然存在安全隐患。

建议：请所有 GitLab 用户务必尽快更新至最新版本，以保护您的账户安全并降低潜在风险。