gitlab CVE-2023-3932漏洞(CVE-2023-3932)

CVE编号

CVE-2023-3932

利用情况

暂无

补丁情况

N/A

披露时间

2023-07-25

漏洞描述

GitLab EE存在漏洞，影响版本从13.12到16.0.8、从16.1到16.1.3、从16.2到16.2.2。攻击者可以利用计划的安全扫描策略以任意用户身份运行管道作业。

解决建议

"将组件 gitlab 升级至 16.0.8 及以上版本""将组件 gitlab 升级至 16.1.3 及以上版本""将组件 gitlab 升级至 16.2.2 及以上版本"

参考链接
https://gitlab.com/gitlab-org/gitlab/-/issues/417594
https://hackerone.com/reports/2057633

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	gitlab	gitlab	*	From (including) 13.12.0	Up to (excluding) 16.0.8
	运行在以下环境
	应用	gitlab	gitlab	*	From (including) 16.1.0	Up to (excluding) 16.1.3
	运行在以下环境
	应用	gitlab	gitlab	*	From (including) 16.2.0	Up to (excluding) 16.2.2
	运行在以下环境
	系统	amazon_2	golang	*		Up to (excluding) 1.amzn2
	运行在以下环境
	系统	amazon_2023	golang	*		Up to (excluding) 1.amzn2023
	运行在以下环境
	系统	amazon_AMI	golang	*		Up to (excluding) 1.20.10-1.48.amzn1
	运行在以下环境
	系统	anolis_os_23	golang-docs	*		Up to (excluding) 1.20.9-1
	运行在以下环境
	系统	debian_sid	gitlab	*		Up to (excluding) 16.0.8+ds1-2
	运行在以下环境
	系统	fedora_37	golang-docs	*		Up to (excluding) 1.20.10-3.fc37
	运行在以下环境
	系统	fedora_38	golang-docs	*		Up to (excluding) 1.20.10-2.fc38
	运行在以下环境
	系统	fedora_39	golang-docs	*		Up to (excluding) 1.21.3-1.fc39
	运行在以下环境
	系统	fedora_EPEL_7	golang-docs	*		Up to (excluding) 1.19.13-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.4	go1.21-doc	*		Up to (excluding) 1.21.1-150000.1.6.1
	运行在以下环境
	系统	opensuse_Leap_15.5	go1.21-doc	*		Up to (excluding) 1.21.1-150000.1.6.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.19.13-1.module+el8.8.0+21189+9e6e1f9f
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 1.19.13-1.el9_2
	运行在以下环境
	系统	redhat_9	golang-docs	*		Up to (excluding) 1.19.13-1.el9_2

CVSS3评分 6.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com