CVE-2023-2478:GitLab代码执行漏洞通告

admin
admin
admin
0
文章
0
评论
2023-11-11 22:58:46 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

报告编号:CERT-R-2023-144

报告来源:360CERT

报告作者:360CERT

更新日期:2023-05-08

1
 漏洞简述
2023年05月08日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号为CVE-2023-2478,漏洞等级:严重,漏洞评分:9.6
GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。
对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。
2
 风险等级
360CERT对该漏洞的评定结果如下
评定方式
等级
威胁等级
严重
影响面
广泛
攻击者价值
利用难度
360CERT评分
9.6
3
 漏洞详情

CVE-2023-2478 远程代码执行漏洞

组件: GitLab:CE/EE
漏洞类型: 程序逻辑错误
实际影响: 远程代码执行
主要影响: 敏感数据窃取
简述: 该漏洞存在于GitLab中,是一个代码执行漏洞。在某些情况下,经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目,可能造成代码执行或敏感信息泄露的影响。
4
 影响版本

CVE-2023-2478

组件
影响版本
安全版本
GitLab:CE/EE
15.4 – 15.9.7
>= 15.9.7
GitLab:CE/EE
15.10 – 15.10.6
15.10.X >= 15.10.6
GitLab:CE/EE
15.11 – 15.11.2
15.11.X >= 15.11.2
5
 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
6
 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  1