近日，我司监测到 GitLab 官方发布了一条安全公告，修复了一个存在于GitLab的账户接管漏洞。该漏洞是由于 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户，攻击者通过 SCIM 功能将用户的电子邮件地址更改为攻击者控制的电子邮件地址，从而在没有双因素身份认证（2FA）的情况下接管目标帐户并更改目标帐户的显示名称和用户名。

GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug 列表等。

影响版本:

• 11.0 ≤ GitLab Enterprise Edition (EE) < 14.9.5
• 14.10.0 ≤ GitLab Enterprise Edition (EE) < 14.10.4
• 15.0.0 ≤ GitLab Enterprise Edition (EE) < 15.0.1

安全版本：

• GitLab Enterprise Edition (EE) >= 14.9.5
• GitLab Enterprise Edition (EE) >= 14.10.4
• GitLab Enterprise Edition (EE) >= 15.0.1

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://packages.gitlab.com/gitlab/