GitLab 更新修复多项安全漏洞

关键要点

GitLab 发布了针对多个安全漏洞的修复，涵盖社区版和企业版软件。其中最严重的是一个高危的跨站脚本XSS漏洞CVE20244835，可能导致用户账户被劫持。还修复了一个中危的拒绝服务漏洞CVE20242874和其他几个中危漏洞，建议用户尽快更新软件版本。

GitLab 最近发布的更新修复了多个安全漏洞，具体内容见 BleepingComputer 的报道。这些更新主要集中在其社区版和企业版的软件上。

最令人关注的修复是一个高危跨站脚本漏洞，编号为 CVE20244835，位于 Web IDE VS 代码编辑器中。根据 GitLab 的说法，这个漏洞可能被攻击者利用，进而劫持用户账户并窃取受限信息。

clash怎么用

除了上述漏洞，GitLab 还修复了一个中危的拒绝服务漏洞CVE20242874，以及一个中危的跨站请求伪造CSRF漏洞CVE20237045。另外，还有四个中危漏洞可能会被利用，以便未授权访问私有项目的依赖列表、维基渲染 API/Page 重做以及不当的流水线创建。随着针对 GitLab 账户的攻击日益增多，供应链攻击风险加大，因此紧急呼吁用户立即部署更新的 GitLab 软件版本。

当前，有超过 2000 个受到最高危零点击账户劫持漏洞CVE20237028影响的 GitLab 实例，至今仍面临攻击风险。这一漏洞的解决已经被美国网络安全和基础设施安全局CISA要求各联邦机构迅速处理，但依然存在安全隐患。

漏洞编号漏洞类型严重程度备注CVE20244835跨站脚本高可能导致账户劫持和信息窃取CVE20242874拒绝服务中影响服务可用性CVE20237045跨站请求伪造中存在未授权操作风险CVE20237028零点击账户劫持高最高危漏洞仍在影响中

建议：请所有 GitLab 用户务必尽快更新至最新版本，以保护您的账户安全并降低潜在风险。