6月26日GitLab针对社群版（CE）及企业版（EE）发布重大修补更新17.1.1、17.0.3、16.11.5版，总共修补14个漏洞，其中最值得留意的部分，是列为重大层级的CVE-2024-5655，CVSS风险评为9.6分。

这项漏洞影响15.8至16.11.4、17.0.0 至17.0.2，以及17.1.0至17.1.0版，无论CE或EE版都会受到影响。开发团队指出，一旦攻击者触发漏洞，就可能在特定情况下，以其他使用者的身分存取Pipeline工作流程。

虽然目前此漏洞尚未出现遭到利用的迹象，但有鉴于资安问题极为严重，开发团队呼吁使用者应尽速套用新版程式。

但由于这项漏洞涉及Pipeline，开发团队也指出更新后会出现两项重大变更。

其中一项是合并请求（Ｍerge Requests，MR）进到单一目标的工作流程会受到改变，因先前的目标分支遭到合并而导致合并请求需自动重新调整进入的目标，导致含有这类流程的Pipeline可能无法自动执行。使用者必须手动启动Pipeline，才能让持续整合（CI）执行相关变更。

另一个则与身分验证有关。透过CI_JOB_TOKEN进行的GraphQL身分验证机制，在本次更新版本皆预设为停用，使用者若要存取GraphQL的API，必须指定其中一种Token进行验证。