CVE-2023-2478:GitLab代码执行漏洞通告

阅读量147541

发布时间 : 2023-05-19 11:58:03

报告编号:CERT-R-2023-144

报告来源:360CERT

报告作者:360CERT

更新日期:2023-05-08

1
 漏洞简述
2023年05月08日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号为CVE-2023-2478,漏洞等级:严重,漏洞评分:9.6
GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。
对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。
2
 风险等级
360CERT对该漏洞的评定结果如下
评定方式
等级
威胁等级
严重
影响面
广泛
攻击者价值
利用难度
360CERT评分
9.6
3
 漏洞详情

CVE-2023-2478 远程代码执行漏洞

组件: GitLab:CE/EE
漏洞类型: 程序逻辑错误
实际影响: 远程代码执行
主要影响: 敏感数据窃取
简述: 该漏洞存在于GitLab中,是一个代码执行漏洞。在某些情况下,经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目,可能造成代码执行或敏感信息泄露的影响。
4
 影响版本

CVE-2023-2478

组件
影响版本
安全版本
GitLab:CE/EE
15.4 – 15.9.7
>= 15.9.7
GitLab:CE/EE
15.10 – 15.10.6
15.10.X >= 15.10.6
GitLab:CE/EE
15.11 – 15.11.2
15.11.X >= 15.11.2
5
 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
6
 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66