7月10日GitLab发布社群版（CCE）及企业版（EE）更新17.1.2、17.0.4、16.11.6版，当中总共修补6项漏洞，最值得留意的是被列为重大层级风险的CVE-2024-6385。

这项漏洞影响15.8至16.11.5版、17.0至17.0.3版，以及17.1至17.1.3版GitLab，一旦攻击者利用这项漏洞，就有机会在特定情况下，冒用任意用户身分运行Pipeline工作流程，CVSS风险评为9.6分。

值得留意的是，两周前GitLab也修补类似的漏洞CVE-2024-5655，同样能导致攻击者冒用他人身分，运行Pipeline工作流程，危险程度也同样达到CVSS评分9.6。当时，开发团队也特别指出更新后可能会出现重大变更，要用户部署前特别留意。

另一个本次修补较为严重的漏洞是CVE-2024-5257，为中度风险层级，CVSS风险评为4.9分。当开发人员通过名为admin_compliance_framework的角色，有可能更动用于命名空间（namespace）群组的URL。