GitLab 是一種由 GitLab Inc. 提供的非常受人歡迎的 Git 型原始程式碼管理系統 (SCM)，可同時作為雲端服務和內部部署服務。GitLab 具有持續整合和持續開發 (CI/CD) 功能，可透過名為「.gitlab-ci.yml」的設定檔提供自動化構建、測試和部署。

如果此檔案隨 Web 應用程式洩漏，則攻擊者可利用此檔案來取得敏感資訊的存取權。

在 GitLab CE/EE 中發現一個問題，此問題會影響 13.0 至 14.6.5、14.7 至 14.7.4 以及 14.8 至 14.8.2 版。註冊受限的私人 GitLab 執行個體可能容易受到未經驗證的使用者透過 GraphQL API 執行的使用者列舉攻擊。

GitLab CE/EE 10.5 至 13.10.5、13.11 至 13.11.5 和 13.12 至 13.12.2 版在啟用針對 webhooks 的內部網路要求時，會受到伺服器端要求偽造弱點影響。未經驗證的攻擊者可利用此問題，使目標伺服器對任意主機執行盲目網路要求。

這是一則資訊通知，說明掃描器能夠偵測到目標 GitLab 範例上的公共專案。

這是一則資訊通知，說明掃描器能夠偵測到目標實體上的 GitLab 公共註冊頁面。

這是一則資訊通知，說明掃描器能夠偵測到目標 GitLab 範例上的公共片段。

- 在 GitLab CE/EE 中發現一個問題，此問題會影響 11.9 至 13.8.8/13.9.6/13.10.3 的所有版本。原因是第三方檔案剖析器 Exif-Tool 未正確驗證影像檔案，進而導致遠端命令執行攻擊。

ID	名稱	產品	系列	已發布	已更新	嚴重性
113142	偵測到 GitLab CI 設定	Web App Scanning	Data Exposure	2022/2/15	2022/2/15	medium
113210	GitLab 13.x < 14.6.5 / 14.7.x < 14.7.4 / 14.8.x < 14.8.2 使用者列舉	Web App Scanning	Component Vulnerability	2022/3/24	2022/4/15	medium
113091	GitLab 10.5.x < 13.10.5 / 13.11.x < 13.11.5 / 13.12.x < 13.12.2 伺服器端要求偽造	Web App Scanning	Component Vulnerability	2022/4/21	2022/4/21	high
114617	偵測到 GitLab 公開專案	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
114616	偵測到 GitLab 公開註冊	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
114619	偵測到 GitLab 公開片段	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
113044	GitLab 11.9.x < 13.8.8/13.9.x < 13.9.6/13.10.x < 13.10.3 遠端程式碼執行	Web App Scanning	Component Vulnerability	2021/11/9	2022/3/23	critical

偵測

搜尋 Plugin

medium

medium

high

info

info

info

critical