GitLab CE/EE修复CVE-2024-8312和CVE-2024-6826

摘要

栋科技漏洞库关注到GitLab官方于2024年10月23日发布版本更新公告，修复了GitLab CE/EE中的CVE-2024-8312和CVE-2024-6826漏洞。

GitLab 是一个用于仓库管理系统的项目，由GitLabInc.开发，最初采用Ruby编写，使用Git作为代码管理工具并在此基础搭建的Web服务。

一、基本情况

GitLab由乌克兰程序员DmitriyZaporozhets和ValerySizov开发，使用MIT许可证的基于网络的Git仓库管理工具，具有wiki和issue跟踪功能。

GitLab已被IBM、Sony、JülichResearchCenter、NASA、Alibaba、Invincea、Leibniz-Rechenzentrum（LRZ）、SpaceX等组织广泛使用。

GitLab CE/EE修复CVE-2024-8312和CVE-2024-6826

栋科技漏洞库关注到GitLab官方于2024年10月23日发布版本更新公告，修复了GitLab CE/EE中的CVE-2024-8312和CVE-2024-6826漏洞。

二、漏洞分析

CVE-2024-8312

CVE-2024-8312漏洞是GitLab CE/EE发现的一个高危漏洞，其影响17.3.6之前的15.10、17.4.3之前的17.4和17.5.1之前的17.5的所有版本。

由 joaxcar通过GitLab HackerOne 错误赏金计划上报，CVSS 3.1评分8.7，攻击者可将HTML注入 diff 视图的全局搜索字段从而导致XSS。

CVE-2024-6826

CVE-2024-6826漏洞是在GitLab CE/EE发现的一个中危漏洞，影响 17.3.6 之前的11.2、17.4.3之前的17.4和17.5.1之前的17.5的所有版本。

由 a92847865 通过GitLab HackerOne错误赏金计划上报，CVSS 3.1评分为6.5，攻击者导入恶意制作的XML清单文件可能导致拒绝服务。

GitLab于2024年10月23日发布GitLab 社区版（CE）和企业版（EE）版本 17.5.1、17.4.3、17.3.6，这些版本包含重要的错误和安全修复。

三、影响范围

GitLab CE/EE 版本：15.10（含）~ 17.3.6（不含）

GitLab CE/EE 版本：17.4（含）~ 17.4.3（不含）

GitLab CE/EE 版本：17.5（含）~ 17.5.1（不含）

四、修复建议

GitLab CE/EE version: 17.3.6

GitLab CE/EE version: 17.4.3

GitLab CE/EE version: 17.5.1

五、参考链接

https://about.gitlab.com/releases/2024/10/23/patch-release-gitlab-17-5-1-released/