【安全漏洞公告】GitLab 跨站腳本漏洞(CNNVD-202303-577)
發布時間:2023-04-06
來源:圣(sheng)博(bo)潤(run)
一、漏洞簡介
|
CVE ID
|
CVE-2023-0050
|
公開日期
|
2023-03-16
|
|
危害級別
|
中危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
Git������Lab是美國GitLab公司的一個開源的端(duan)到端(duan)軟件(jian)開發平臺,具有內置的版(ban)本控制、問(wen)題跟蹤、代碼審(shen)查、CI/CD(持(chi)續集成和持(chi)續交付(fu))等功(gong)能。
GitLab 存(cun)在安全漏洞(dong)(dong),該漏洞(dong)(dong)源(yuan)于(yu)特制的 Kroki 圖可能導(dao)致在客戶端(duan)觸(chu)發存(cun)儲(chu)型跨站腳本漏洞(dong)(dong),從而允(yun)許攻擊(ji)者代表受害者執(zhi)行(xing������)任意(yi)操作(zuo)。
二、影響范圍
13.7 <= GitLab CE/EE < 15.7.8
15.8 <= GitLab CE/EE < 15.8.4
15.9 <= GitLab CE/EE < 15.9.2
三、解決措施
目前�������官(guan)方已在最新(xin)版(ban)(ban)本中修(xiu)復了該漏洞,請受影(ying)響的用戶(hu)盡快升級版(ban)(ban)本進行防護���(hu),最新(xin)版(ban)(ban)本下載鏈接如(ru)下:
GitLab CE/EE 版(ban)本(ben)>= 15.7.8
GitLab CE/EE 版本>= 15.8.4
GitLab CE/EE 版本(ben)>= 15.9.2
//about.gitlab.com/update/
四、參考鏈接
//gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0050������.json
//gitlab.com/gitlab-org/gitlab/�������-/issues/387023
//hackerone.com/reports/1731349
//cxsecurity.com/cveshow/CVE-2023-0050/
//www.auscert.org.au/bulletins/ESB-2023.1405
