漏洞描述:
GitLab是一个开源的代码托管平台,用于代码管理和协作,CODEOWNERS是GitLab中的一个功能,允许项目维护者指定可以批准代码更改的人员,该功能旨在提高代码审核的安全性,并确保只有经过授权的人员才能合并代码更改,GitLab中存在一个身份认证绕过漏洞,该漏洞允许攻击者绕过 CODEOWNERS验证,在旧功能分支中利用精心构造的有效负载执行恶意操作,成功的利用此漏洞可以实现对代码和数据进行访问和修改。
影响版本:
11.3<=GitLab CE<16.7.7
16.7.6<=GitLab CE<16.8.4
16.8.3<=GitLab CE<16.9.2
11.3<=GitLab EE<16.7.7
16.7.6<=GitLab EE<16.8.4
16.8.3<=GitLab EE<16.9.2
修复建议:
正式防护方案:
GitLab 已发布安全更新修复了此漏洞,建议所有受影响的用户尽快升级到最新版本:
GitLab 16.9.2
GitLab 16.8.4
GitLab 16.7.7
下载链接:
https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/
原文始发于微信公众号(飓风网络安全):【漏洞预警】GitLab 身份验证绕过漏洞CVE-2024-0199
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论