漏洞描述

2023年5月10日公司监测到GitLab官方发布安全补丁，修复了一个代码执行漏洞。GitLab是一个基于Git的Web平台，用于代码托管、版本控制和协作开发。它提供了一个完整的工具集，包括代码仓库管理、问题跟踪、持续集成、代码审查、Wiki、CI/CD等功能，用来帮助团队更好地协作开发和管理代码。该漏洞是由于GitLab针对端点的权限认证存在错误，攻击者可利用该漏洞在获得权限的情况下，构造恶意Runner并将之加载到实例项目，执行代码执行攻击，最终获取服务器最高权限或造成服务器敏感性信息泄露。

漏洞编号

CNVD-2023-2478

漏洞危害

该漏洞是由于GitLab针对端点的权限认证存在错误，攻击者可利用该漏洞在获得权限的情况下，构造恶意Runner并将之加载到实例项目，执行代码执行攻击，最终获取服务器最高权限或造成服务器敏感性信息泄露。

漏洞等级

高危
受影响版本

15.4.0 ≤ GitLab CE/EE < 15.9.7,

15.10.0 ≤ GitLab CE/EE < 15.10.6,

15.11.0 ≤ GitLab CE/EE < 15.11.2

修复方案

目前官方已发布安全补丁修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接如下：

https://about.gitlab.com/update/

参考链接

https://about.gitlab.com/update/