GitLab 曝出严重漏洞，可能导致任意 CI/CD 管道执行

2025-11-26 20:31:40分类：物联网阅读(9552)

近日，曝出GitLab 发布了社区版（CE）和企业版（EE）的严重安全更新 ，以解决八个安全漏洞 ，漏洞其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的任意关键漏洞。该漏洞被跟踪为 CVE-2024-9164 ，管道CVSS 得分为 9.6（满分 10 分） ，执行攻击者可以在某些情况下以任意用户身份触发Pipeline，曝出可能导致权限提升或执行恶意操作  。严重

GitLab 在一份公告中说 ："在 GitLab EE 中发现了一个漏洞 ，服务器租用漏洞影响了从 12.5 开始到 17.2.9 之前的任意所有版本、从 17.3 开始到 17.3.5 之前的管道所有版本 ，以及从 17.4 开始到 17.4.2 之前的执行所有版本。目前，曝出GitLab CE/EE 17.1.7 ，严重17.2.5，漏洞17.3.2及以上版本已修复该漏洞 。亿华云

在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低：

CVE-2024-8970（CVSS 得分 ：8.2） ，允许攻击者在某些情况下以其他用户身份触发管道CVE-2024-8977（CVSS 得分：8.2） ，允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击CVE-2024-9631 (CVSS score: 7.5)，可导致在查看有冲突的合并请求的差异时速度变慢CVE-2024-6530 （CVSS 得分 ：7.3） ，源码下载由于跨站点脚本问题，当授权新应用程序时 ，会在 OAuth 页面中注入 HTML

近几个月来，GitLab 不断披露与管道相关的漏洞
，该公告是其中的最新进展
。

近期历史漏洞回顾

GitLab近期频繁披露与管道相关的漏洞
，源码库此次更新只是其中的一部分。

上个月，GitLab修复了另一个关键漏洞（CVE-2024-6678，CVSS得分 ：9.9），该漏洞允许攻击者以任意用户身份运行管道作业。

此前，GitLab还修补了其他三个类似的缺陷——CVE-2023-5009（CVSS得分：9.6）、高防服务器CVE-2024-5655（CVSS得分 ：9.6）和CVE-2024-6385（CVSS得分  ：9.6）
。

尽管目前没有证据表明这些漏洞已被主动利用，但GitLab强烈建议用户将其实例更新至最新版本 ，以确保系统安全并防范潜在威胁。定期更新和监控是保护关键基础设施免受攻击的重要措施。

GitLab的安全更新反映了当前软件安全环境的动态性，建站模板企业需保持警惕并及时响应安全公告 ，以维护其数字资产的安全。