GitLab 周三发布了安全更新，以解决 17 个安全漏洞，包括一个允许攻击者以任意用户身份运行管道作业的关键缺陷。

该问题被跟踪为 CVE-2024-6678，CVSS 评分为 9.9 分（满分 10.0 分）

该公司在警报中表示：“在 GitLab CE/EE 中发现一个问题，影响从 8.14 到 17.1.7、从 17.2 到 17.2.5 以及从 17.3 到 17.3.2 的所有版本，这允许攻击者在某些情况下以任意用户身份触发管道。

该漏洞以及 3 个高严重性、11 个中等严重性和 2 个低严重性错误已在极狐GitLab 社区版 （CE） 和企业版 （EE） 的 17.3.2、17.2.5、17.1.7 版本中得到解决。

值得注意的是，CVE-2024-6678 是继 CVE-2023-5009（CVSS 评分：9.6）、CVE-2024-5655（CVSS 评分：9.6）和 CVE-2024-6385（CVSS 评分：9.6）之后，GitLab 在过去一年中修补的第四个此类漏洞。

虽然没有证据表明这些漏洞被积极利用，但建议用户尽快应用补丁以减轻潜在威胁。

今年 5 月初，美国网络安全和基础设施安全局 （CISA） 透露，一个关键的 GitLab 漏洞（CVE-2023-7028，CVSS 评分：10.0）已在野外被积极利用。