漏洞描述:
GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。在 GitLab CE/EE 15.11 至 15.11.6 版本以及 16.0 至 16.0.1 版本中,当GitLab导入GitHub仓库时,如果GitHub仓库中包含由用户构造的恶意JavaScript代码的标签颜色,解析这些标签颜色可能导致存储型XSS漏洞。
影响范围:
GitLab CE/EE@[16.0, 16.0.2)
GitLab CE/EE@[15.11, 15.11.7)
修复方案:
可根据https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/,将GitLabCE/EE升级到 16.0.2 或更高版本
可根据https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/,将GitLabCE/EE升级到 15.11.7 或更高版本
参考链接:
https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/#stored-xss-with-csp-bypass-in-merge-requests
https://gitlab.com/gitlab-org/gitlab/-/issues/370873
原文始发于微信公众号(飓风网络安全):【漏洞预警】GitLab CE/EE 存在存储型XSS漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论