【安全漏洞公告】GitLab 跨站腳本漏洞(CNNVD-202303-577)
一、漏洞簡介
|
CVE ID
|
CVE-2023-0050
|
公開日期
|
2023-03-16
|
|
危害級別
|
中危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
��������
GitLab是美國GitLab公司的一個開源的端到端軟件開發平臺,具有內置的版本控制、問題跟蹤、代碼審查、CI/CD(持續集成和持續交付)等功能。
��������
GitLab 存在安全漏洞,該漏洞源于特制的 Kroki 圖可能導致在客戶端觸發存儲型跨站腳本漏洞,從而允許攻擊者代表受害者執行任意操作。
二、影響范圍
13.7 <= GitLab CE/EE < 15.7.8
15.8 <= GitLab CE/EE < 15.8.4
15.9 <= GitLab CE/EE < 15.9.2
三、解決措施
�������
目前官方已在最新版本中修復了該漏洞,請受影響的用戶盡快升級版本進行防護,最新版本下載鏈接如下:
GitLab CE/EE 版本>= 15.7.8
GitLab CE/EE 版本>= 15.8.4
GitLab CE/EE 版本>= 15.9.2
//about.gitlab.com/update/
四、參考鏈接
����
//gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0050.json
������
//gitlab.com/gitlab-org/gitlab/-/issues/387023
//hackerone.com/reports/1731349
//cxsecurity.com/cveshow/CVE-2023-0050/
//www.auscert.org.au/bulletins/ESB-2023.1405
