关于GitLab Kubernetes集群代理未授权访问漏洞（CVE-2024-9693）的安全预警

一、 基本情况

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

二、 漏洞描述

GitLab 社区版 (CE) 和企业版 (EE)中修复了一个未授权访问漏洞（CVE-2024-9693），其CVSS评分为8.5，该漏洞源于特定配置下的权限控制不当，允许低权限用户通过某些方式未授权访问 Kubernetes 集群代理，成功利用该漏洞可能导致数据泄露、篡改或服务中断等。

三、 影响范围

16.0 <= GitLab CE/EE < 17.3.7

17.4 <= GitLab CE/EE < 17.4.4

17.5 <= GitLab CE/EE < 17.5.2

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到GitLab CE/EE 17.5.2、17.4.4、17.3.7或更高版本。

下载链接：

https://about.gitlab.com/

五、 参考链接

https://about.gitlab.com/releases/2024/11/13/patch-release-gitlab-17-5-2-released/

https://nvd.nist.gov/vuln/detail/CVE-2024-9693