漏洞描述:
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目,GitLab 社区版 (CE) 和企业版 (EE)中修复了一个未授权访问漏洞(CVE-2024-9693),其CVSS评分为8.5,该漏洞源于特定配置下的权限控制不当,允许低权限用户通过某些方式未授权访问Kubernetes集群代理,成功利用该漏洞可能导致数据泄露、篡改或服务中断等。
影响范围:
16.0 <= GitLab CE/EE < 17.3.7
17.4 <= GitLab CE/EE < 17.4.4
17.5 <= GitLab CE/EE < 17.5.2
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE 17.5.2、17.4.4、17.3.7或更高版本。
下载链接:
https://about.gitlab.com/releases/2024/11/13/patch-release-gitlab-17-5-2-released/
临时措施:
暂无
原文始发于微信公众号(飓风网络安全):【漏洞预警】GitLab Kubernetes集群代理未授权访问漏洞(CVE-2024-9693)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论