漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)

admin 2023年5月11日01:02:44评论62 views字数 687阅读2分17秒阅读模式
漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)


漏洞概述

该漏洞的CVSSv3评分为9.6,等级为严重


GitLab CE/EE多个受影响版本中,某些情况下实例上经过身份验证的任何GitLab 用户都可以利用该漏洞,使用GraphQL端点将恶意运行程序附加到实例上的任意项目,成功利用可能导致敏感信息泄露或代码执行等。


影响范围

15.4 <= GitLab CE/EE版本< 15.9.7

15.10<= GitLab CE/EE版本< 15.10.6

15.11<= GitLab CE/EE版本< 15.11.2


后端源码

3.1 升级版本

目前该漏洞已经修复,受影响用户可升级到以下版本:

  • GitLab CE/EE版本:>= 15.9.7

  • GitLab CE/EE版本:>= 15.10.6

  • GitLab CE/EE版本:>= 15.11.2

下载链接:

https://about.gitlab.com/update/


3.2 临时措施

暂无。


3.3 通用建议

  • 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

  • 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

  • 使用企业级安全产品,提升企业的网络安全性能。

  • 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

  • 启用强密码策略并设置为定期修改。



长风实验室发布、转载的文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途。部分文章来源于网络,如有侵权请联系删除。

END

 推荐 

 阅读 

漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)
漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)


漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)
漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)

原文始发于微信公众号(长风实验室):漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月11日01:02:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞通告丨GitLab 9.6分严重漏洞(CVE-2023-2478)https://cn-sec.com/archives/1724863.html

发表评论

匿名网友 填写信息