GitLab发布了关键安全更新，修复了多个漏洞，其中包括一个高严重性漏洞（CVE-2024-9693），该漏洞可能导致未经授权访问Kubernetes集群。社区版和企业版17.5.2、17.4.4和17.3.7版本均受到影响，并已发布修复版本。除了Kubernetes漏洞，GitLab还修复了设备OAuth流量漏洞、拒绝服务漏洞、存储XSS漏洞、HTML注入漏洞和信息披露漏洞等。GitLab强烈建议所有用户立即升级到最新版本以确保安全。

⚠️ **高严重性Kubernetes漏洞(CVE-2024-9693)：** 该漏洞可能允许攻击者在特定配置下未经授权访问Kubernetes集群中的代理，存在被恶意利用的风险，GitLab团队成员Tiger Watson发现并修复了该漏洞。

🚨 **设备OAuth流量漏洞(CVE-2024-7404)：** 攻击者可利用该漏洞以受害者身份获取完整的API访问权限，获取敏感数据和控制权限。

🛡️ **拒绝服务(DoS)漏洞：** 使用Fogbugz导入器导入恶意内容可能会触发拒绝服务攻击，导致GitLab服务不可用。

🔗 **存储XSS漏洞(CVE-2024-8648)：** 攻击者可通过构造特殊的URL向分析仪表板注入恶意JavaScript代码，窃取用户信息或控制用户操作。

🌐 **信息披露漏洞(CVE-2024-10240)：** 在特定情况下，未经身份验证的用户可能会读取私有项目中的合并请求信息，造成敏感信息泄露。

GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。”除了 Kubernetes 漏洞，GitLab 还修补了其他几个漏洞，包括设备 OAuth 流量漏洞 (CVE-2024-7404)： 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。拒绝服务 (DoS) 漏洞： 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。存储 XSS 漏洞 (CVE-2024-8648)： 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。HTML 注入漏洞 (CVE-2024-8180)： 如果未启用内容安全策略 (CSP)，不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。信息披露漏洞 (CVE-2024-10240)： 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。“我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”