HackerNews 编译，转载请注明出处： 日本汽车制造商日产公司披露了一起数据泄露事件，该事件与Red Hat公司使用的自托管 GitLab 实例存在关联。威胁行为者获得了该GitLab实例的访问权限，窃取了2.1万名客户的数据。
Red Hat系统遭入侵
今年 10 月，黑客组织Crimson Collective宣称， Red Hat确认发生数据泄露，但并未证实Crimson Collective黑客组织的相关说法。...

GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。 最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。”...

GitLab 修补了一个高严重性漏洞，未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞（跟踪为CVE-2024-4835）是 VS 代码编辑器（Web IDE）中的一个 XSS 弱点，它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞，但仍然需要用户交互，从而增加了攻击的复杂性。...

Bleeping Computer 网站披露，GitLab 发布了 16.0.1 版紧急安全更新，以解决被追踪为 CVE-2023-2825 的严重性（CVSS v3.1 评分：10.0）路径遍历漏洞。 GitLab 是一个基于网络的 Git 存储库，主要面向需要远程管理代码的开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。...

GitLabCE/EE 多个版本受到漏洞影响 漏洞是否在野被利用尚不清楚 从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。

鉴于一些用户无法立即升级到最新版本，GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后，...

据Bleeping Computer网站6月3日消息，GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新，以解决8个漏洞问题，其中一个为账户接管的高危漏洞。 这个帐户接管漏洞被追踪为 CVE-2022-1680，评分高达 9.9，影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果，黑客可以访问开发人员的项目并窃取源代码。...