Gitlab CE&EE GraphQL
添加恶意Runner漏洞
Gitlab是一款开源的代码管理平台,基于Ruby On Rails构建。该平台提供源代码管理、代码审核、问题跟踪、持续集成等功能。它能帮助开发者更高效地管理和协作开发项目,追踪代码变更并管理代码库的版本,同时也能提供web服务。
近日,长亭科技监测到Gitlab发布了补丁更新,修复了一处后认证RCE漏洞。漏洞编号为CVE-2023-2478,CVSS评分9.6。
漏洞描述
任意gitlab用户可以通过GraphQL端点对任意项目添加恶意的Runner,进一步利用可能导致代码执行或敏感信息泄露。
影响范围
-
15.4 <= Gitlab CE&EE < 15.9.7
-
15.10 <= Gitlab CE&EE < 15.10.6
-
15.11 <= Gitlab CE&EE < 15.11.2
解决方案
目前官方已发布更新,受漏洞影响的用户可根据实际业务场景、确认在不影响业务的情况下对gitlab进行升级。
https://about.gitlab.com/update/
产品支持
牧云:默认支持此软件的资产采集,对应的漏洞匹配升级包已经在升级平台上发布,版本号:23.05.008。
洞鉴:默认支持该产品的指纹识别。
参考资料
https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/
原文始发于微信公众号(黑伞安全):漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论