GitLab揭露高風險漏洞，未經身分驗證的攻擊者可發動XSS攻擊接管帳號

5月22日GitLab發布社群版（CE）及企業版（EE）的17.0.1、16.11.3、16.10.6更新，當中修補7個漏洞，其中有1個被列為高風險層級，而特別值得留意。

這項高風險漏洞是CVE-2024-4835，為一鍵點擊的帳號挾持漏洞，攻擊者可製作惡意網頁，在未經身分驗證的情況下，利用Visual Studio Code程式碼編輯器（網頁IDE）觸發漏洞進行跨網站指令碼（XSS）攻擊，從而洩漏使用者機敏資訊，進而有機會接管帳號，CVSS風險評為8.0分。

其餘中等層級的漏洞當中，危險程度較高的是：runner說明欄位的阻斷服務（DoS）漏洞CVE-2024-2874、K8s叢集整合的跨網站偽造請求（CSRF）漏洞CVE-2023-7045等，上述漏洞的CVSS風險評分為6.5、5.4。