漏洞描述:
GitLab 存在身份认证绕过漏洞,经过身份验证的远程攻击者有可能通过计划的安全扫描策略以任意用户身份运行管道。
利用条件:
需要低权限
漏洞利用可能性:高
影响版本:
13.12 <= GitLab CE < 16.2.7
13.12 <= GitLab EE < 16.2.7
16.3 <= GitLab CE < 16.3.4
16.3 <= GitLab EE < 16.3.4
修复方法:
目前官网已发布安全修复版本,受影响用户可以更新到最新版本。
缓解方案:
对于一些不能升级的版本可以选择启动下面其中一项,当不能都启用:
1、Direct transfers - https://docs.gitlab.com/ee/administration/settings/import_and_export_settings.html#enable-migration-of-groups-and-projects-by-direct-transfer
2、Security policies - https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html
相关链接:
irect transfers - https://docs.gitlab.com/ee/administration/settings/import_and_export_settings.html#enable-migration-of-groups-and-projects-by-direct-transfer
Security policies - https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html
原文始发于微信公众号(飓风网络安全):【漏洞预警】GitLab 身份认证绕过漏洞CVE-2023-4998
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论