平台
gitlab
组件
gitlab
修复版本
17.2.9
17.3.5
17.4.2
CVE-2024-8977 是 GitLab EE 中的服务器端请求伪造 (SSRF) 漏洞。攻击者可以利用此漏洞发起未经授权的请求,访问内部资源或执行恶意操作。该漏洞影响 GitLab EE 的 15.10 到 17.4.2 版本,特别是那些配置了产品分析仪表板的实例。建议立即升级至 17.4.2 版本以消除风险。
攻击者可以利用此 SSRF 漏洞绕过安全措施,访问 GitLab 实例内部的网络资源,例如数据库、API 端点或其他内部服务。这可能导致敏感数据泄露、未经授权的访问控制更改,甚至可能导致对底层基础设施的进一步攻击。如果仪表板配置不当,攻击者可能能够读取内部文件,执行远程代码,或利用内部服务进行横向移动。此漏洞的潜在影响范围取决于内部网络的配置和敏感数据的存储方式。
该漏洞已公开披露,且可能存在公开的利用代码。目前尚无关于该漏洞被大规模利用的公开报告,但由于其高危评级和易用性,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录,但建议持续关注相关安全公告。
Organizations using GitLab EE with the Product Analytics Dashboard enabled are at risk. This includes teams relying on GitLab for DevOps workflows and those storing sensitive data within the GitLab repository. Specifically, deployments with overly permissive internal network access policies increase the potential impact.
• gitlab / server:
journalctl -u gitlab-unicorn | grep "Product Analytics Dashboard"• gitlab / server:
ps aux | grep "Product Analytics Dashboard"• gitlab / server:
curl -I <gitlab_url>/<product_analytics_dashboard_url>• generic web: Check GitLab instance configuration for enabled Product Analytics Dashboard.
disclosure
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 GitLab EE 升级至 17.4.2 或更高版本。如果无法立即升级,可以考虑禁用产品分析仪表板功能,以降低 SSRF 攻击的风险。此外,实施严格的网络策略,限制 GitLab 实例对内部资源的访问,可以进一步减少潜在的攻击面。监控 GitLab 日志,查找异常的网络请求,有助于及早发现潜在的攻击活动。升级后,请验证仪表板功能是否正常运行,并确认 SSRF 漏洞已成功修复。
将 GitLab 更新到 17.2.9、17.3.5 或 17.4.2 版本,或更高版本。这将修复产品分析仪表板配置中的 SSRF 漏洞。请参阅 GitLab 的版本说明以获取有关更新的详细说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-8977 是 GitLab EE 中的服务器端请求伪造 (SSRF) 漏洞,影响 15.10–17.4.2 版本。攻击者可以利用此漏洞发起未经授权的请求访问内部资源。
如果您正在使用 GitLab EE 15.10 到 17.4.2 版本,并且启用了产品分析仪表板功能,则可能受到影响。请立即检查您的版本并升级。
将 GitLab EE 升级至 17.4.2 或更高版本。如果无法升级,请禁用产品分析仪表板功能。
虽然目前没有大规模利用的公开报告,但由于其高危评级和易用性,建议尽快采取缓解措施。
请访问 GitLab 安全公告页面:https://about.gitlab.com/security/advisories/