GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的严重漏洞。

该漏洞的编号为 CVE-2024-9164，CVSS 评分为 9.6（满分 10 分）。

GitLab在一份公告中表示： “GitLab EE 中发现一个问题，影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本，该问题允许在任意分支上运行管道。”

在其余七个问题中，四个问题的严重程度评级为高，两个问题的严重程度评级为中等，一个问题的严重程度评级为低 -

CVE-2024-8970（CVSS 评分：8.2），允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977（CVSS 评分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631（CVSS 评分：7.5），导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530（CVSS 评分：7.3），由于跨站点脚本问题，授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。

上个月，该公司解决了另一个严重漏洞（CVE-2024-6678，CVSS 评分：9.9），该漏洞可能允许攻击者以任意用户身份运行管道作业。

在此之前，它还修补了另外三个类似的缺陷——CVE -2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用该漏洞，但建议用户将其实例更新到最新版本以防范潜在威胁。