GitLab 是一个热门的基于 web 的开源软件项目管理和工作追踪平台，提供免费和商用版本。该漏洞是由安全研究员兼猎洞者Johan Carlsson 发现的。GitLab 称该漏洞是一个中危漏洞CVE-2023-3932并已在8月份修复。Carlsson 发现了绕过该防护措施的方法并演示了其它影响，因此该漏洞从中危升级到严重级别。

在用户号未察觉或未授权的情况下模拟他们运行管道任务（一系列自动化任务），可导致攻击者访问敏感信息或者滥用所模拟用户的权限运行代码、修改数据或者触发 GitLab 系统中的特定事件。

鉴于GitLab 用于管理代码，因此攻陷可导致知识财产丢失、数据泄露、供应链攻击和其它高风险场景。GitLab 的公告强调了该漏洞的严重性，督促用户及时应用可用的安全更新。

GitLab 社区版和企业版16.3.4和16.2.7已修复CVE-2023-4998。

16.2版本之前的用户如未收到修复方案，则建议避免同时启动“直接转移”和“安全策略”两个选项，以便进行缓解。如这两个特性均为活跃状态，则说明该实例易受攻击，因此建议用户一次仅打开一个特性。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~