GitLab社区版(CE)和企业版(EE)修复了一个访问控制不当漏洞,漏洞追溯为CVE-2024-6678,CVSS评分为9.9。 CVE-2024-6678漏洞允许黑客在某些情况下以任意用户身份触发GitLab CI/CD管道,导致权限提升或执行恶意操作。 该漏洞的严重性在于其远程利用的可能性、无需用户交互及低权限要求,攻击者能够以其他用户身份触发 pipe...
GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码。GitLab CE/EE多个受影响版本中,由于电子邮件验证过程中存在错误,用户帐户密码重置电子邮件可以发送到未经验证的电子邮件地址,可能导致在无需用户交互的情况下通过密码重置进行帐户接管。 此外,GitLab CE/EE多个受影响版本中还修复了一个授权检查不当漏洞(CVE-2023...