CVE-2023-2478:GitLab代码执行漏洞通告

报告编号:CERT-R-2023-144

报告来源:360CERT

报告作者:360CERT

更新日期:2023-05-08

1
 漏洞简述
2023年05月08日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号为CVE-2023-2478,漏洞等级:严重,漏洞评分:9.6
GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。
对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。
2
 风险等级
360CERT对该漏洞的评定结果如下
评定方式
等级
威胁等级
严重
影响面
广泛
攻击者价值
利用难度
360CERT评分
9.6
3
 漏洞详情

CVE-2023-2478 远程代码执行漏洞

组件: GitLab:CE/EE
漏洞类型: 程序逻辑错误
实际影响: 远程代码执行
主要影响: 敏感数据窃取
简述: 该漏洞存在于GitLab中,是一个代码执行漏洞。在某些情况下,经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目,可能造成代码执行或敏感信息泄露的影响。
4
 影响版本

CVE-2023-2478

组件
影响版本
安全版本
GitLab:CE/EE
15.4 – 15.9.7
>= 15.9.7
GitLab:CE/EE
15.10 – 15.10.6
15.10.X >= 15.10.6
GitLab:CE/EE
15.11 – 15.11.2
15.11.X >= 15.11.2
5
 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
6
 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐