漏洞公告
近日,中国电信SRC监测到GitLab漏洞,CVSS评分9.6。Gitlab是被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理, Gitlab主要针对group和project两个维度进行代码和文档管理, 其中group是群组, project是工程项目, 一个group可以管理多个project, 可以理解为一个群组中有多项软件开发任务, 而一个project中可能包含多个branch, 意为每个项目中有多个分支, 分支间相互独立, 不同分支可以进行归并。在特定条件下,经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到任何项目,可能造成代码执行或敏感信息泄露。目前,官方已发布新版本,建议升级到最新版本。
参考链接:
https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/
一、影响版本
受影响版本:
二、漏洞描述
GitLab代码执行漏洞风险提示(CVE-2023-2478):在特定条件下,经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到任何项目,可能造成代码执行或敏感信息泄露.
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
三、修复措施
官方建议:
