GitLab 存储型跨站脚本(CVE-2023-0050)漏洞风险通告

GitLab 存储型跨站脚本(CVE-2023-0050)漏洞风险通告
2023-3-3 17:49:47 Author: 赛博昆仑CERT(查看原文) 阅读量:14 收藏

-赛博昆仑漏洞安全通告-

GitLab 存储型跨站脚本

(CVE-2023-0050)漏洞风险通告

漏洞描述

Gitlab 是由 Gitlab 公司开发的、基于 Git 的集成软件开发平台。另外， Gitlab 具有wiki 以及在线编辑、 issue 跟踪功能、 CI/CD 等功能。

近日，赛博昆仑CERT监测到 Gitlab 官方发布了安全通告，修复了 Gitlab 社区版（CE）和企业版（EE）的一个存储型跨站脚本漏洞。

漏洞名称	Gitlab 存储型跨站脚本漏洞
漏洞公开编号	CVE-2023-0050
昆仑漏洞库编号	CYKL-2023-002074
漏洞类型	跨站脚本	公开时间	2023-03-02
漏洞等级	高危	CVSS评分	8.7
漏洞描述	攻击者通过构造特制的 Kroki 图可以造成客户端存储型XSS，可能导致攻击者以受害者的身份执行任意操作。
影响版本	15.9.x <= Gitlab CE/EE <15.9.2 15.8.x <= Gitlab CE/EE <15.8.4 13.7.x <= Gitlab CE/EE <15.7.8
PoC状态	未知	EXP状态	未知
在野利用	未知	技术细节	未知

修复建议

目前，官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

Gitlab CE/EE 版本>=15.9.2

Gitlab CE/EE 版本>=15.8.4

Gitlab CE/EE 版本>=15.7.8

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

联系邮箱：[email protected]

公众号：赛博昆仑CERT

参考链接

https://about.gitlab.com/releases/2023/03/02/security-release-gitlab-15-9-2-released/

时间线

2023年3月2日，GitLab 官方发布安全通告
2023年3月3日，赛博昆仑CERT发布安全风险通告

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483920&idx=1&sn=5e8394023a06202314bcc273e11ff1f4&chksm=c12aff91f65d7687bf474dff473c12ef39af1b0ef3e8db82be513ebf41441382b88ca585ef9f#rd
如有侵权请联系:admin#unsafe.sh