漏洞描述
2023年5月10日公司监测到GitLab官方发布安全补丁,修复了一个代码执行漏洞。GitLab是一个基于Git的Web平台,用于代码托管、版本控制和协作开发。它提供了一个完整的工具集,包括代码仓库管理、问题跟踪、持续集成、代码审查、Wiki、CI/CD等功能,用来帮助团队更好地协作开发和管理代码。该漏洞是由于GitLab针对端点的权限认证存在错误,攻击者可利用该漏洞在获得权限的情况下,构造恶意Runner并将之加载到实例项目,执行代码执行攻击,最终获取服务器最高权限或造成服务器敏感性信息泄露。
漏洞编号
CNVD-2023-2478
漏洞危害
该漏洞是由于GitLab针对端点的权限认证存在错误,攻击者可利用该漏洞在获得权限的情况下,构造恶意Runner并将之加载到实例项目,执行代码执行攻击,最终获取服务器最高权限或造成服务器敏感性信息泄露。
漏洞等级
高危
受影响版本
15.4.0 ≤ GitLab CE/EE < 15.9.7,
15.10.0 ≤ GitLab CE/EE < 15.10.6,
15.11.0 ≤ GitLab CE/EE < 15.11.2
修复方案
目前官方已发布安全补丁修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接如下:
https://about.gitlab.com/update/
参考链接
https://about.gitlab.com/update/