DARKReading 網站消息，一個嚴重的 GitLab 漏洞可能允許攻擊者以另一個用戶的身份運行管道，該公司正敦促運行易受攻擊版本的用戶立即修補該漏洞，以避免 CI/CD 失常。

GitLab 是僅次于 GitHub 的流行 Git 存儲庫，擁有數百萬活躍用戶。上周，它發布了社區版（開源）和企業版的新版本。

更新包括對 14 個不同安全問題的修復，包括跨站請求偽造（CSRF）、跨站腳本（XSS）、拒絕服務（DoS）等。根據通用漏洞評分系統 (CVSS)，其中一個問題的嚴重程度較低，九個問題的嚴重程度中等，三個問題的嚴重程度較高，但有一個關鍵漏洞的 CVSS 得分為 9.6（滿分 10 分）。

CVE-2024-5655 對代碼開發構成嚴重威脅

據該公司稱，CVE-2024-5655 這個關鍵漏洞影響的 GitLab 版本從 15.8 到 16.11.5，從 17.0 到 17.0.3，以及從 17.1 到 17.1.1。該漏洞允許攻擊者以另一個用戶的身份觸發管道，但僅限于 GitLab 沒有詳細說明的情況（GitLab 也沒有提供有關該漏洞的任何其他信息）。

在 GitLab 中，管道可以自動完成構建、測試和部署代碼的過程。從理論上講，攻擊者如果有能力以其他用戶的身份運行管道，就可以訪問他們的私有存儲庫，并操作、竊取或外泄其中包含的敏感代碼和數據。

與 CVE-2023-7028 不同，GitLab 到目前為止還沒有發現 CVE-2024-5655 漏洞在野外被利用的證據，而 CVE-2023-7028 在今年春天早些時候已經被利用。不過，這種情況可能很快就會改變。

合規問題，不僅僅是安全問題

像 CVE-2024-5655 這樣根植于開發過程中的問題，有時會帶來的困擾遠不止于它們在文檔上所呈現的簡單風險。

Synopsys Software Integrity Group 首席副顧問 Jamie Boote 說："在最壞的情況下，這個漏洞甚至不需要被利用就會給公司造成收入損失。"一個軟件或軟件驅動的產品是使用一個易受攻擊的 GitLab 版本構建的，這一事實本身就可能引起關注。

像這樣的管道漏洞不僅會帶來安全風險，還會帶來監管和合規風險。Jamie Boote 解釋說："由于美國公司正在努力滿足向美國政府銷售軟件和產品所需的自檢表要求，如果不解決這個漏洞，可能會導致合規性漏洞，從而使銷售和合同面臨風險。”他特別提到了美國商務部《安全軟件開發證明表說明》第三部分的第 1c 行，其中要求 "在開發和構建軟件的相關環境中執行多因素身份驗證和有條件訪問，以最大限度地降低安全風險"。

Jamie Boote 表示，不解決這一漏洞的公司將很難符合第 1c 項的要求，因為攻擊者可以利用漏洞繞過公司為符合要求而依賴的條件訪問控制。

參考來源：https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines