9月17日GitLab發布社群版（CE）及企業版（EE）的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新，當中修補CVSS風險程度達到滿分（10分）的漏洞CVE-2024-45409，這項漏洞能用於繞過SAML身分驗證機制，存在於Ruby SAML程式庫元件Ruby-SAML，攻擊者可在未經身分驗證的情況下，利用漏洞存取已由身分驗證提供者（IdP）簽署的SAML檔案，進而偽造SAML的回應。

這項漏洞發生的原因，在於Ruby-SAML無法正確驗證SAML回應的簽章，影響1.13.0至1.16.0版，以及12.2版以下的Ruby-SAML。對此，GitLab在公告中指出，IT人員應套用上述新版，或是手動將相依元件進行更新：omniauth-saml升級為2.2.1版、ruby-saml升級為1.17.0版，就能緩解漏洞帶來的危險。

若IT人員無法更新上述元件，該如何減輕漏洞的影響？其中一項措施是為所有使用者啟用GitLab內建的雙因素驗證（2FA）機制，但該公司強調，若是套用身分驗證提供者提供的相關機制，並無法緩解漏洞。

另一項緩解措施，則是停用該系統的SAML雙因素繞過功能。

究竟這項漏洞是否遭到利用？GitLab並未說明，但他們特別提及如何檢測漏洞遭到利用，以及GitLab系統是否遭到入侵的方法，這意味著可能有駭客著手嘗試利用。