GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
近日,监测到GitLab 社区版(CE)和企业版(EE)中修复了一个权限提升漏洞(CVE-2024-8114)。由于GitLab中对LFS令牌的权限管理不当,当攻击者获取目标用户的个人访问令牌(PAT)后,可以进一步滥用该PAT生成的LFS令牌,利用该漏洞实现权限提升,从而可能导致敏感信息泄露或执行未授权操作。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
8.12 <= GitLab CE/EE < 17.4.5
17.5 <= GitLab CE/EE < 17.5.3
17.6 <= GitLab CE/EE < 17.6.1
三、修复建议
目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE 17.6.1、17.5.3、17.4.5或更高版本。