GitLab已发布针对七个漏洞的补丁，其中包括一个允许威胁行为者接管人们账户的高严重性漏洞。

安全公告的亮点是VS代码编辑器(WebIDE)中的XSS漏洞，威胁者可以通过恶意页面利用该漏洞。尽管攻击者可以在没有身份验证的情况下利用该漏洞，但该漏洞仍然需要受害者的互动，这使得利用该漏洞变得更加复杂。

该漏洞被追踪为CVE-2024-4835，目前正在等待严重程度评分。

针对GitLab用户

GitLab表示：“今天，我们发布了GitLab社区版(CE)和企业版(EE)的17.0.1、16.11.3和16.10.6版本。这些版本包含重要的错误和安全修复，我们强烈建议所有GitLab安装立即升级到这些版本之一。”

BleepingComputer报道称，窃取他人的GitLab帐户可能会产生严重后果。例如，威胁者可能会利用这些帐户将恶意软件注入CI/CD(持续集成/持续部署)环境，从而危及受害组织的存储库。

因此，GitLab帐户通常被认为是黑客的热门目标。本月早些时候，CISA警告称，黑客正在野外滥用最高严重性零点击帐户劫持漏洞。该漏洞被追踪为CVE-2023-7028，并于今年1月进行了修补。

当CISA将漏洞添加到其已知可利用漏洞(KEV)目录中时，这通常意味着威胁行为者可以利用它来攻击联邦机构。截至撰写本文时，大约有2,000个端点仍然容易受到黑客攻击。

版权说明：本站所有作品图文均由用户自行上传分享，仅供网友学习交流。若您的权利被侵害，请联系我们

标签：