GitLab CI/CD 管道本质上是在软件开发生命周期中自动化构建、测试和部署的步骤。正如 GitLab 描述的那样，“在最基本的级别，管道将代码从点A移动到点B。管道越快越有效，则任务就完成得越好。”开发人员可通过代码提交、合并请求或调度任务的方式触发该自动化流程。

这个新漏洞CVE-2024-6385可导致攻击者在GitLab 系统中的任意用户上下文中运行管道。Skybox Security 公司的自身技术总监 Howard Goodman 提到，“这意味着攻击者可劫持任何用户的身份，获得对项目、数据和代码仓库的越权访问权限。这可导致多种恶意活动，如注入恶意代码、访问敏感数据或破坏开发管道的正常操作。”

该漏洞的CVSS评分为9.6，影响GitLab CE/EE 16.11.6之前的15.8版本、17.0.4之前的17.0版本以及17.1.2之前的17.1版本。GitLab 督促用户不要延迟部署该漏洞的修复方案。GitLab 在安全公告中提到，“这是一个严重漏洞”，“强烈”建议用户尽快升级至最新版本。

类似但不同

GitLab 曾在6月26日披露漏洞CVE-2024-5655，CVSS评分也是9.8，可导致攻击者以任意用户身份运行管道。然而，Goodman 表示二者之间存在细微差别。

他提到，“CVE-2024-5655更关注于通过特定的API调用进行利用，而CVE-2024-6385涉及在 GitLab CI/CD管道流程中范围更广的攻击向量。后者可能代表更广的攻击面，可能由于攻击者可以任何身份执行多种操作，而造成更严重的影响。”

Contrast Security 公司的首席信息安全官 David Lindner 表示，这个新漏洞表明 GitLab 要么第一次并未完全修复CVE-2024-5655，要么发现了利用这类漏洞的另外一种方法。他表示这两种情况再软件中都非常常见，并援引 Log4j 漏洞和多个相关问题为例进行说明。

攻击者要求在特定的 GitLab 环境中拥有合法的用户账户，以利用新发现的漏洞。他提到，“这说明前提条件式在这个特定的 GitLab 实例中拥有一个活跃账户，从而降低成功利用的可能性。这意味着更可能发生内部威胁。但如果任何一个账户曾被或者正被攻陷，则可遭外部攻击者利用。”

GitLab 评估该漏洞称，非权限用户利用的复杂度几乎不存在。Goodman 表示，“如果攻击者详细了解GitLab 环境和该漏洞，则漏洞利用可能很简单。”然而，环境本身的复杂度和所需知识对于技能不够的攻击者而言可能是一个障碍，“另外，GitLab 的安全措施和监控可检测并缓解此类风险，前提是它们得到了正确配置和主动维护。”

对于使用 GitLab 的组织机构而言，该漏洞是他们在过去两个半月中必须处理的第三个严重漏洞。5月份，GitLab 披露了一个CVSS满分访问控制不当漏洞，可导致攻击者完全接管账户。就在披露后的几天内，该漏洞就遭广泛利用，因此CISA将该漏洞纳入“已知遭利用漏洞”分类表。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~