GitLab LFS Token 权限提升漏洞(CVE-2024-8114)预警
1、基本情况
GitLab 是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控、以及更多的功能。
近日,监测发现 GitLab 官方发布安全通告修复了 GitLab LFSToken 中的权限提升漏洞(CVE-2024-8114),由于 GitLab 中对 LFS令牌的权限管理不当,当攻击者获取目标用户的个人访问令牌(PAT)后,可以进一步滥用该 PAT 生成的 LFS 令牌,利用该漏洞实现权限提升,从而可能导致敏感信息泄露或执行未授权操作。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ 8.12 <= GitLab CE/EE < 17.4.5
⚫ 17.5 <= GitLab CE/EE < 17.5.3
⚫ 17.6 <= GitLab CE/EE < 17.6.1
3、处置建议
目前该漏洞已经修复,受影响用户可升级到 GitLab CE/EE17.6.1、17.5.3、17.4.5 或更高版本。
下载链接:https://about.gitlab.com/
4、参考链接
1) https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/