CVE-2024-5655 GitLab身份认证绕过漏洞（最新热点漏洞）

　　免责声明

　　希客安全的技术文章仅供参考，任何个人和组织在使用网络时应当遵守相关法律法规，不得利用网络从事危害国家安全、荣誉和利益的活动。未经授权，请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，希客安全及文章作者不承担任何责任。本文所提供的工具仅用于学习，禁止用于其他用途!

　　GitLab身份认证绕过漏洞(CVE-2024-5655)

　　一、漏洞描述

　　GitLab 社区版(CE)和企业版(EE)从 15.8 到 16.11.5、17.0 到 17.0.3 以及 17.1 到 17.1.1 版本中存在访问控制不当漏洞。成功利用该漏洞可能导致以下风险：

　　攻击者可以在某些情况下以其他用户的身份触发 pipeline，从而造成身份验证绕过。

　　身份验证绕过：攻击者可以利用该漏洞在未经授权的情况下触发 CI/CD 管道，可能导致代码泄露、数据篡改或其他安全风险。

　　二、影响版本

　　15.8 <= GitLab CE/EE < 16.11.5

　　17.0 <= GitLab CE/EE < 17.0.3

　　17.1 <= GitLab CE/EE < 17.1.1

　　三、修复方案

　　官方已发布修复方案，受影响的用户建议更新至安全版本。

　　https://about.gitlab.com/update

　　四、参考文献

　　https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/