9月17日GitLab发布社群版（CE）及企业版（EE）的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新，当中修补CVSS风险程度达到满分（10分）的漏洞CVE-2024-45409，这项漏洞能用于绕过SAML身分验证机制，存在于Ruby SAML程序库组件Ruby-SAML，攻击者可在未经身分验证的情况下，利用漏洞存取已由身分验证提供者（IdP）签署的SAML文件，进而伪造SAML的回应。

这项漏洞发生的原因，在于Ruby-SAML无法正确验证SAML回应的签章，影响1.13.0至1.16.0版，以及12.2版以下的Ruby-SAML。对此，GitLab在公告中指出，IT人员应套用上述新版，或是手动将相依组件进行更新：omniauth-saml升级为2.2.1版、ruby-saml升级为1.17.0版，就能缓解漏洞带来的危险。

若IT人员无法更新上述组件，该如何减轻漏洞的影响？其中一项措施是为所有用户激活GitLab内置的双因素验证（2FA）机制，但该公司强调，若是套用身分验证提供者提供的相关机制，并无法缓解漏洞。

另一项缓解措施，则是停用该系统的SAML双因素绕过功能。

究竟这项漏洞是否遭到利用？GitLab并未说明，但他们特别提及如何检测漏洞遭到利用，以及GitLab系统是否遭到入侵的方法，这意味着可能有黑客着手尝试利用。