GitLab 是 GitLab Inc. 提供的一种广受欢迎的基于 Git 的源代码管理系统 (SCM)，该系统可作为云服务和本地服务。GitLab 具有持续集成和持续开发 (CI/CD) 功能，可通过名为 `.gitlab-ci.yml` 的配置文件提供自动构建、测试和部署。

当通过 Web 应用程序暴露时，攻击者可使用此文件获取敏感信息的访问权限。

在 GitLab CE/EE 中发现一个问题，13.0 至 14.6.5、14.7 至 14.7.4 以及 14.8 至 14.8.2 版本均受此影响。注册受限的专用 GitLab 实例可能容易受到未经身份验证的用户通过 GraphQL API 进行的用户枚举攻击。

从 13.10.5 之前的 10.5 开始的 GitLab CE/EE 版本、13.11.5 之前的 13.11 和 13.12.2 之前的 13.12 开始，当启用对 Webhooks 的内部网络请求时，均会受到服务器端请求伪造漏洞的影响。未经身份验证的攻击者可利用此问题，导致目标服务器对任意主机执行盲目网络请求。

这是一条信息通知，说明扫描程序能够检测到目标 GitLab 实例上的公共项目。

这是一条信息通知，说明扫描程序在目标实例上检测到了 GitLab 公共注册页面。

这是一条信息通知，说明扫描程序能够检测到目标 GitLab 实例上的公共片段。

- 在 GitLab CE/EE 中发现一个问题，自 11.9 至 13.8.8/13.9.6/13.10.3 的所有版本均受此影响。由于第三方文件解析器 Exif-Tool 未正确验证图像文件，因而导致远程命令执行。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
113142	检测到 GitLab CI 配置	Web App Scanning	Data Exposure	2022/2/15	2022/2/15	medium
113210	GitLab 13.x < 14.6.5/14.7.x < 14.7.4/14.8.x < 14.8.2 用户枚举	Web App Scanning	Component Vulnerability	2022/3/24	2022/4/15	medium
113091	GitLab 10.5.x < 13.10.5/13.11.x < 13.11.5/13.12.x < 13.12.2 服务器端请求伪造	Web App Scanning	Component Vulnerability	2022/4/21	2022/4/21	high
114617	检测到 SonarQube 公共项目	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
114616	检测到 GitLab 公共注册	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
114619	检测到 SonarQube 公共项目	Web App Scanning	Web Applications	2025/3/11	2025/3/11	info
113044	GitLab 11.9.x < 13.8.8/13.9.x < 13.9.6/13.10.x < 13.10.3 远程代码执行	Web App Scanning	Component Vulnerability	2021/11/9	2022/3/23	critical

检测

插件搜索

medium

medium

high

info

info

info

critical