网络安全研究人员指出，微软的多因素身份验证 (MFA) 实施中存在一个“严重”安全漏洞，该漏洞允许攻击者轻松绕过保护并获得对受害者帐户的未经授权的访问。

Oasis Security 研究人员 Elad Luz 和 Tal Hason在与 The Hacker News 分享的一份报告中表示：“绕过方法很简单：大约需要一个小时才能完成，不需要用户交互，不会生成任何通知，也不会向账户持有人提供任何麻烦的迹象。”

经过负责任的披露，微软于 2024 年 10 月解决了这个代号为AuthQuake 的问题。

虽然 Windows 制造商支持通过 MFA验证用户身份的各种方式，但其中一种方法是在提供凭证后输入来自身份验证器应用程序的六位数代码。单个会话最多允许 10 次连续失败的尝试。

Oasis 发现的漏洞本质上涉及提供和验证这些一次性代码时缺乏速率限制和延长的时间间隔，从而允许恶意行为者快速产生新的会话并枚举代码的所有可能排列（即一百万），甚至不会向受害者发出登录尝试失败的警报。

值得注意的是，此类代码也称为基于时间的一次性密码 (TOTP)，具有时间限制，使用当前时间作为随机源生成。此外，这些代码仅在约 30 秒内保持有效，之后会轮换。

“然而，由于验证器和用户之间可能存在时间差异和延迟，我们鼓励验证器接受更大的代码时间窗口，”Oasis 指出。“简而言之，这意味着单个 TOTP 代码的有效期可能超过 30 秒。”

在微软的案例中，这家总部位于纽约的公司发现代码的有效期长达 3 分钟，因此攻击者可以利用延长的时间窗口同时发起更多暴力破解尝试来破解六位数代码。

研究人员表示：“引入速率限制并确保其得到正确实施至关重要。此外，速率限制可能还不够，后续失败尝试应触发账户锁定。”

此后，微软实施了更严格的速率限制，该限制在多次尝试失败后才会生效。Oasis 还表示，新的限制持续时间约为半天。

Keeper Security 首席信息安全官 James Scobey 在一份声明中表示：“最近在微软多重身份验证 (MFA) 中发现的 AuthQuake 漏洞提醒我们，安全不仅仅在于部署 MFA，还必须进行正确配置。”

“虽然 MFA 无疑是一种强大的防御手段，但其有效性取决于关键设置，例如限制速率以阻止暴力破解尝试和登录失败时通知用户。这些功能不是可选的；它们对于增强可见性至关重要，使用户能够尽早发现可疑活动并迅速做出反应。”

网络安全研究人员发布了一个概念验证 (PoC) 漏洞，该漏洞将影响 Mitel MiCollab 的一个现已修补的严重安全漏洞与任意文件读取零日漏洞串联起来，使攻击者能够从易受攻击的实例访问文件。

该严重漏洞为 CVE-2024-41713（CVSS 评分：9.8），与 Mitel MiCollab 的 NuPoint 统一消息传递 (NPM) 组件中的输入验证不足有关，从而导致路径遍历攻击。

MiCollab 是一种软件和硬件解决方案，它将聊天、语音、视频和短信功能与 Microsoft Teams 和其他应用程序集成在一起。NPM 是一个基于服务器的语音邮件系统，它使用户能够通过各种方法访问他们的语音消息，包括远程或通过 Microsoft Outlook 客户端。

WatchTowr Labs 在与 The Hacker News 分享的一份报告中表示，它在重现CVE-2024-35286（CVSS 评分：9.8）的过程中发现了 CVE-2024-41713，这是 NPM 组件中的另一个严重漏洞，可能允许攻击者访问敏感信息并执行任意数据库和管理操作。

Mitel 于 2024 年 5 月下旬发布 MiCollab 版本 9.8 SP1 (9.8.1.5) 修补了该 SQL 注入漏洞。

这个新漏洞之所以引人注目是因为它涉及将 HTTP 请求中的输入“..;/”传递给 ReconcileWizard 组件，以使攻击者进入应用程序服务器的根目录，从而可以在无需身份验证的情况下访问敏感信息（例如 /etc/passwd）。

WatchTowr Labs 的分析进一步发现，身份验证绕过可以与尚未修补的后身份验证任意文件读取漏洞相结合，以提取敏感信息。

Mitel在针对 CVE-2024-41713 的公告中表示：“成功利用此漏洞可能使攻击者获得未经授权的访问，并可能对系统的机密性、完整性和可用性产生影响。”

“如果成功利用该漏洞，攻击者可以未经身份验证访问配置信息（包括非敏感用户和网络信息），并在 MiCollab 服务器上执行未经授权的管理操作。”

该公司还指出，系统内的本地文件读取漏洞（CVE-2024-55550，CVSS 评分：2.7）是由于输入清理不足造成的，并且泄露仅限于非敏感系统信息。它强调，该漏洞不允许文件修改或权限提升。

经过负责任的披露，CVE-2024-41713 已于 2024 年 10 月 9 日插入 MiCollab 版本 9.8 SP2（9.8.2.12）或更高版本中。

安全研究员桑尼·麦克唐纳说：“从更技术层面来看，这次调查已经得出了一些宝贵的教训。”

“首先，这是一个真实的例子，表明并不总是需要完全访问源代码——即使在深入研究漏洞以重现 COTS 解决方案中已知的弱点时也是如此。根据 CVE 描述的深度，一些良好的互联网搜索技能可以成为成功寻找漏洞的基础。”

值得注意的是，MiCollab 9.8 SP2（9.8.2.12）还解决了音频、Web 和视频会议 (AWV) 组件中的一个单独的 SQL 注入漏洞（CVE-2024-47223，CVSS 评分：9.4），该漏洞可能造成严重影响，从信息泄露到执行任意数据库查询，从而导致系统无法运行。

在披露此信息之际，Rapid7 详细介绍了 Lorex 2K 室内 Wi-Fi 安全摄像头中的几个安全缺陷（从 CVE-2024-52544 到 CVE-2024-52548），这些缺陷可以组合起来实现远程代码执行 (RCE)。

在假设的攻击场景中，前三个漏洞可用于将目标设备的管理员密码重置为对手选择的密码，从而获得查看设备实时视频和音频源的权限，或者利用剩下的两个漏洞实现提升权限的 RCE。

安全研究员 Stephen Fewer指出：“该漏洞利用链由 5 个不同的漏洞组成，它们分两个阶段共同运作，以实现未经身份验证的 RCE” 。

“第 1 阶段执行身份验证绕过，允许远程未经身份验证的攻击者将设备的管理员密码重置为攻击者选择的密码。第 2 阶段利用第 1 阶段中的身份验证绕过来执行经过身份验证的基于堆栈的缓冲区溢出并以 root 权限执行操作系统 (OS) 命令，从而实现远程代码执行。”

美国网络安全和基础设施安全局 (CISA) 将影响Zyxel、North Grid Proself、ProjectSend和Cyber​​Panel产品的多个安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明这些漏洞正在被积极利用。

漏洞列表如下：

CVE-2024-51378（CVSS 评分：10.0） - 一个不正确的默认权限漏洞，允许绕过身份验证并使用 statusfile 属性中的 shell 元字符执行任意命令
CVE-2023-45727（CVSS 评分：7.5）- XML 外部实体 (XXE) 引用漏洞的不当限制，可能允许远程、未经身份验证的攻击者进行 XXE 攻击
CVE-2024-11680（CVSS 评分：9.8） - 一种不当身份验证漏洞，允许未经身份验证的远程攻击者创建帐户、上传 Web Shell 并嵌入恶意 JavaScript
CVE-2024-11667（CVSS 评分：7.5）- Web 管理界面中的路径遍历漏洞，可能允许攻击者通过精心设计的 URL 下载或上传文件

CVE-2023-45727 被纳入 KEV 目录是在趋势科技于 2024 年 11 月 19 日发布的一份报告之后，该报告将其积极利用与一个名为 Earth Kasha（又名 MirrorFace）的中国网络间谍组织联系起来。

上周，网络安全供应商 VulnCheck透露，恶意行为者最早在 2024 年 9 月就试图利用 CVE-2024-11680 来投放后利用有效载荷。

另一方面，根据Censys和Sekoia 的说法， CVE-2024-51378和 CVE-2024-11667的滥用被归因于各种勒索软件 活动，例如 PSAUX 和 Helldown 。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 25 日之前修复已发现的漏洞，以确保其网络的安全。

IO DATA 路由器存在多个漏洞，遭攻击#
此前，JPCERT/CC警告称，IO DATA 路由器 UD-LT1 和 UD-LT1/EX 中的三个安全漏洞正被未知威胁行为者利用。

CVE-2024-45841（CVSS 评分：6.5）- 关键资源漏洞的权限分配不正确，允许具有访客帐户访问权限的攻击者读取敏感文件，包括包含凭据的文件
CVE-2024-47133（CVSS 评分：7.2） - 一种操作系统 (OS) 命令注入漏洞，允许使用管理帐户登录的用户执行任意命令
CVE-2024-52564（CVSS 评分：7.5） - 包含未记录的功能漏洞，允许远程攻击者禁用防火墙功能，并执行任意操作系统命令或更改路由器配置

虽然 CVE-2024-52564 的补丁已在固件 Ver2.1.9 中提供，但其余两个缺陷的修复预计要到 2024 年 12 月 18 日（Ver2.2.0）才会发布。

与此同时，这家日本公司建议客户通过禁用远程管理、更改默认访客用户密码以及确保管理员密码不容易猜到来限制设置屏幕暴露在互联网上。

Apple 发布了针对 iOS、iPadOS、macOS、visionOS 及其 Safari 网络浏览器的安全更新，以解决两个已被广泛利用的零日漏洞。

这些缺陷如下：

CVE-2024-44308 - JavaScriptCore 中的漏洞，在处理恶意 Web 内容时可能导致任意代码执行
CVE-2024-44309 - WebKit 中的 cookie 管理漏洞，在处理恶意 Web 内容时可能导致跨站点脚本 (XSS) 攻击

这家 iPhone 制造商表示，它分别通过改进检查和改进状态管理解决了 CVE-2024-44308 和 CVE-2024-44309 问题。

目前关于漏洞利用的具体性质尚不清楚，但苹果承认，这两个漏洞“可能在基于 Intel 的 Mac 系统上被积极利用”。

谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Benoît Sevens 因发现和报告这两个漏洞而受到赞誉，这表明这两个漏洞很可能被用于高度针对性的政府支持或雇佣兵间谍软件攻击。

更新适用于以下设备和操作系统 -

iOS 18.1.1 和 iPadOS 18.1.1 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
iOS 17.7.2 和 iPadOS 17.7.2 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、iPad mini 第 5 代及更新机型
macOS Sequoia 15.1.1 - 运行 macOS Sequoia 的 Mac
visionOS 2.1.1 -Apple Vision Pro
Safari 18.1.1 - 运行 macOS Ventura 和 macOS Sonoma 的 Mac

到目前为止，苹果今年已修复了其软件中的四个零日漏洞，其中一个 ( CVE-2024-27834 ) 在 Pwn2Own 温哥华黑客大赛上进行了展示。另外三个漏洞分别于2024 年1 月和3 月进行了修补。

建议用户尽快将其设备更新到最新版本，以防范潜在威胁。

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。

Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。

Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地权限提升 (LPE)，这意味着本地攻击者能够获得 root 权限”，并指出这些问题已在 3.8 版本中得到解决。

Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。

以下列出了五个缺陷——

CVE-2024-48990（CVSS 评分：7.8） - 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python 解释器，从而以 root 身份执行任意代码
CVE-2024-48991（CVSS 评分：7.8） - 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root 身份执行任意代码
CVE-2024-48992（CVSS 评分：7.8） - 一个漏洞，允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以 root 身份执行任意代码
CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 两个漏洞允许本地攻击者利用 libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令
成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特制的环境变量，从而导致在运行 needrestart 时执行指向威胁行为者环境的任意代码。

Ubuntu 指出：“在 CVE-2024-10224 中，[...] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。”

“就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发 CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。”

虽然强烈建议下载最新的补丁，但 Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。

Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。”

“利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。”

美国网络安全和基础设施安全局 (CISA) 周四将影响 Palo Alto Networks Expedition 的严重安全漏洞（现已修复）添加到其已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞存在主动利用。

该漏洞被标记为CVE-2024-5910（CVSS 评分：9.3），涉及 Expedition 迁移工具中缺少身份验证的情况，可能导致管理员帐户被接管。

CISA 在警报中表示：“Palo Alto Expedition 包含一个缺少身份验证的漏洞，该漏洞允许具有网络访问权限的攻击者接管 Expedition 管理员帐户并可能访问配置机密、凭据和其他数据。”

该缺陷影响了 Expedition 1.2.92 版本之前的所有版本，该版本于 2024 年 7 月发布，以解决该问题。

目前尚无关于该漏洞如何在实际攻击中被利用的报告，但 Palo Alto Networks 此后修改了其原始公告，承认其“注意到 CISA 的报告，有证据表明该漏洞正在被积极利用”。

KEV 目录中还添加了另外两个漏洞，其中包括 Android 框架组件中的权限提升漏洞 ( CVE-2024-43093 )。谷歌本周披露，该漏洞已受到“​​有限的、有针对性的利用”。

另一个安全缺陷是CVE-2024-51567（CVSS 评分：10.0），这是一个影响 Cyber​​Panel 的严重缺陷，允许远程未经身份验证的攻击者以 root 身份执行命令。该问题已在 2.3.8 版本中得到解决。

据LeakIX和网名为Gi7w0rm的安全研究员称，2023 年 10 月下旬，有发现恶意行为者大规模利用该漏洞，在超过 22,000 个暴露在互联网上的 Cyber​​Panel 实例上部署了 PSAUX 勒索软件。

LeakIX 还指出，三个不同的勒索软件组织迅速利用了该漏洞，在某些情况下文件被多次加密。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 11 月 28 日之前修复已发现的漏洞，以保护其网络免受主动威胁。

谷歌警告称，影响其 Android 操作系统的安全漏洞已遭到广泛利用。

根据代码提交消息显示，该漏洞的编号为 CVE-2024-43093，是 Android 框架组件中的一个权限提升缺陷，可能导致未经授权访问“Android/data”、“Android/obb”和“Android/sandbox”目录及其子目录。

目前尚无关于该漏洞如何在现实世界的攻击中被利用的详细信息，但谷歌在其月度公告中承认，有迹象表明该漏洞“可能受到有限的、有针对性的利用”。

该科技巨头还指出，高通芯片组中现已修复的安全漏洞 CVE-2024-43047 已被积极利用。该漏洞是数字信号处理器 (DSP) 服务中的一个释放后使用漏洞，成功利用该安全漏洞可能会导致内存损坏。

上个月，该芯片制造商对谷歌 Project Zero 研究员 Seth Jenkins 和 Conghui Wang 报告此漏洞表示感谢，并对国际特赦组织安全实验室确认了这一实际活动表示感谢。

该公告未提供针对该漏洞的攻击活动细节或攻击时间，不过该漏洞有可能被用作针对民间社会成员的高度针对性的间谍软件攻击的一部分。

目前还不清楚这两个安全漏洞是否被设计成一个漏洞利用链，以提升权限并实现代码执行。

CVE-2024-43093 是继CVE-2024-32896之后第二个被积极利用的 Android 框架漏洞，谷歌早在 2024 年 6 月和 9 月就修补了该漏洞。虽然该漏洞最初仅针对 Pixel 设备得到解决，但该公司后来证实该漏洞影响了更广泛的 Android 生态系统。

Kubernetes Image Builder 中披露了一个严重的安全漏洞，如果成功利用，可能会在某些情况下被滥用来获取 root 访问权限。

该漏洞编号为CVE-2024-9486（CVSS 评分：9.8），已在 0.1.38 版本中得到解决。项目维护人员感谢 Nicolai Rybnikar 发现并报告了该漏洞。

Red Hat 的 Joel Smith在警报中表示： “在 Kubernetes Image Builder 中发现了一个安全问题，在映像构建过程中启用了默认凭据。”

“此外，使用 Proxmox 提供程序构建的虚拟机映像不会禁用这些默认凭据，并且使用生成的映像的节点可以通过这些默认凭据访问。这些凭据可用于获取 root 访问权限。”

话虽如此，只有当 Kubernetes 集群的节点使用通过 Image Builder 项目与 Proxmox 提供程序创建的虚拟机 (VM) 映像时，集群才会受到该漏洞的影响。

作为临时缓解措施，建议禁用受影响虚拟机上的构建器帐户。还建议用户使用固定版本的 Image Builder 重建受影响的映像并将其重新部署到虚拟机上。

Kubernetes 团队实施的修复措施是，在镜像构建期间，随机生成密码，不再使用默认凭据。此外，在镜像构建过程结束时，构建者帐户将被禁用。

Kubernetes Image Builder 版本 0.1.38 还解决了使用 Nutanix、OVA、QEMU 或原始提供程序创建映像构建时默认凭据的相关问题（CVE-2024-9594，CVSS 分数：6.3）。

CVE-2024-9594 的严重性较低，这是因为使用这些提供程序构建的映像的虚拟机仅会受到影响，“如果攻击者能够到达正在构建映像的虚拟机，并利用漏洞在构建映像时修改映像”。

微软发布了针对 Dataverse、Imagine Cup 和 Power Platform 三个严重漏洞的服务器端补丁，这些漏洞可能导致权限提升和信息泄露 -

CVE-2024-38139（CVSS 评分：8.7）——Microsoft Dataverse 中的不正确身份验证允许授权攻击者通过网络提升权限
CVE-2024-38204（CVSS 评分：7.5）——Imagine Cup 中的不当访问控制允许授权攻击者通过网络提升权限
CVE-2024-38190（CVSS 评分：8.6）- Power Platform 中缺少授权，允许未经身份验证的攻击者通过网络攻击媒介查看敏感信息
此前，Apache Solr 开源企业搜索引擎 (CVE-2024-45216，CVSS 评分：9.8) 中也披露了一个严重漏洞，该漏洞可能为易受攻击实例上的身份验证绕过铺平道路。

GitHub 针对该漏洞的公告指出： “任何 Solr API URL 路径末尾的伪造结尾将允许请求跳过身份验证，同时保持与原始 URL 路径的 API 契约。这个伪造结尾看起来像一个不受保护的 API 路径，但它在身份验证之后但在 API 路由之前在内部被剥离。”

该问题影响 Solr 8.11.4 之前的 5.3.0 版本以及 9.7.0 之前的 9.0.0 版本，已分别在 8.11.4 和 9.7.0 版本中得到修复。

此前有报道称 ScienceLogic SL1 存在一个严重安全漏洞，该漏洞被积极利用为零日漏洞。周一，美国网络安全和基础设施安全局 (CISA)将影响 ScienceLogic SL1 的严重安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中。

该漏洞的编号为CVE-2024-9537（CVSS v4 评分：9.3），指的是涉及未指定的第三方组件的错误，可能导致远程代码执行。

此问题已在 12.1.3、12.2.3 和 12.3 及更高版本中得到解决。版本 10.1.x、10.2.x、11.1.x、11.2.x 和 11.3.x 也已提供修复。

几周前，云托管提供商 Rackspace承认“已发现 ScienceLogic EM7 门户存在问题”，并于上个月底将其仪表板下线。

一个名为 ynezzor 的账户在 2024 年 9 月 28 日的 X 帖子中表示： “我们已经确认，该第三方应用程序的漏洞导致了对三个内部 Rackspace 监控网络服务器的访问。”

目前尚不清楚此次攻击的幕后黑手是谁，但 Rackspace 已向Bleeping Computer证实，零日漏洞导致未经授权访问其内部性能报告系统，并且已通知所有受影响的客户。The Register最先报道了此次入侵事件。

联邦民事行政部门 (FCEB) 机构必须在 2024 年 11 月 11 日之前应用修复程序，以应对其网络可能面临的威胁。

Fortinet 修补可能被利用的漏洞#
目前，Fortinet 已发布 FortiManager 安全更新，以修复据称被与中国有关的威胁行为者利用的漏洞。

目前尚不清楚该漏洞的详细信息，但 Fortinet 过去曾提前发送机密客户通信，以帮助他们在漏洞向更广泛的受众发布之前加强防御。Hacker News 已联系该公司，如果收到回复，我们将更新该报道。

安全研究员 Kevin Beaumont 在 Mastodon上表示：“FortiGate 发布了 FortiManager 的六个新版本之一，修复了产品中被积极利用的零日漏洞……但他们尚未发布 CVE 或在发布说明中记录存在的问题。也许下周？”

“Fortigate 目前拥有中国使用的世界上最不秘密的零日漏洞，包括在 FortiManager Cloud 中……但每个人都很困惑。”

本月初，CISA根据野外利用的证据，在其 KEV 目录中添加了另一个影响 Fortinet FortiOS、FortiPAM、FortiProxy 和 FortiWeb 的严重漏洞（CVE-2024-23113 ，CVSS 评分：9.8）。

GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的严重漏洞。

该漏洞的编号为 CVE-2024-9164，CVSS 评分为 9.6（满分 10 分）。

GitLab在一份公告中表示： “GitLab EE 中发现一个问题，影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本，该问题允许在任意分支上运行管道。”

在其余七个问题中，四个问题的严重程度评级为高，两个问题的严重程度评级为中等，一个问题的严重程度评级为低 -

CVE-2024-8970（CVSS 评分：8.2），允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977（CVSS 评分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631（CVSS 评分：7.5），导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530（CVSS 评分：7.3），由于跨站点脚本问题，授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。

上个月，该公司解决了另一个严重漏洞（CVE-2024-6678，CVSS 评分：9.9），该漏洞可能允许攻击者以任意用户身份运行管道作业。

在此之前，它还修补了另外三个类似的缺陷——CVE -2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用该漏洞，但建议用户将其实例更新到最新版本以防范潜在威胁。