6月26日GitLab针对社群版（CE）及企业版（EE）发布重大修补更新17.1.1、17.0.3、16.11.5版，总共修补14个漏洞，其中最值得留意的部分，是列为重大层级的CVE-2024-5655，CVSS风险评为9.6分。

这项漏洞影响15.8至16.11.4、17.0.0 至17.0.2，以及17.1.0至17.1.0版，无论CE或EE版都会受到影响。开发团队指出，一旦攻击者触发漏洞，就可能在特定情况下，以其他用户的身分存取Pipeline工作流程。

虽然目前此漏洞尚未出现遭到利用的迹象，但有鉴于资安问题极为严重，开发团队呼吁用户应尽速套用新版程序。

但由于这项漏洞涉及Pipeline，开发团队也指出更新后会出现两项重大变更。

其中一项是合并请求（Ｍerge Requests，MR）进到单一目标的工作流程会受到改变，因先前的目标分支遭到合并而导致合并请求需自动重新调整进入的目标，导致含有这类流程的Pipeline可能无法自动运行。用户必须手动启动Pipeline，才能让持续集成（CI）运行相关变更。

另一个则与身分验证有关。通过CI_JOB_TOKEN进行的GraphQL身分验证机制，在本次更新版本皆默认为停用，用户若要存取GraphQL的API，必须指定其中一种Token进行验证。