據(jù)外媒近日?qǐng)?bào)道，數(shù)據(jù)安全公司 Imperva 研究人員丹尼爾·斯瓦特曼（Daniel Svartman）今年 5 月發(fā)現(xiàn)開(kāi)源系統(tǒng) GitLab 存在一處高危漏洞，能夠允許攻擊者通過(guò)會(huì)話劫持竊取用戶私有令牌。 直至本周三，GitLab 官方才確認(rèn)已徹底解決這一問(wèn)題。

研究人員指出，如果攻擊者通過(guò)該漏洞成功破解某一帳戶，那么他們極有可能獲取賬戶管理權(quán)限、轉(zhuǎn)儲(chǔ)惡意代碼并通過(guò)會(huì)話劫持竊取用戶敏感信息等操作。此外，攻擊者還可在執(zhí)行代碼更新時(shí)將任何惡意程序嵌入其中。與此同時(shí)，由于 GitLab 使用的永久性私有會(huì)話令牌永遠(yuǎn)不會(huì)過(guò)期，因此當(dāng)攻擊者獲取該令牌后受害賬戶隨時(shí)可能遭受入侵。另外，值得注意的是，該令牌僅由 20 個(gè)字符組成，這使目標(biāo)賬戶遭受暴力攻擊的幾率顯著增加。

研究人員表示尚不清楚該漏洞已出現(xiàn)多久，而 GitLab 方面則澄清截止目前并沒(méi)有用戶遭受惡意攻擊的案例。GitLab 安全主管 Brian Neel 強(qiáng)調(diào)：“ GitLab 現(xiàn)使用的私有令牌只能在與跨站點(diǎn)腳本或其他漏洞相結(jié)合時(shí)，才會(huì)對(duì)用戶構(gòu)成威脅。對(duì)此，GitLab 官方正積極采取更安全的措施以避免賬戶會(huì)話數(shù)據(jù)泄露 ”。