漏洞概述
GitLab 再次发布安全补丁,修复其社区版 (CE) 和企业版 (EE) 中的一个严重安全漏洞,该漏洞可用于在创建工作区时写入任意文件。
此漏洞编号为 CVE-2024-0402,其 CVSS 评分为 9.9(满分 10 分)。
GitLab 在 2024 年 1 月 25 日发布的公告中表示:“已发现 GitLab CE/EE 中存在一个问题,影响所有低于 16.5.8、16.6.6、16.7.4 和 16.8.1 的版本,该漏洞允许经过身份验证的用户在创建工作区时将文件写入 GitLab 服务器上的任意位置。”
影响版本
- GitLab CE/EE 所有低于 16.5.8、16.6.6、16.7.4 和 16.8.1 的版本
安全风险
- 成功利用此漏洞的攻击者可以在 GitLab 服务器上写入任意文件,从而植入恶意代码、窃取敏感数据或破坏系统稳定性。
修复方案
- 立即升级您的 GitLab 实例到已修复漏洞的版本:
- GitLab CE/EE 16.5.8
- GitLab CE/EE 16.6.6
- GitLab CE/EE 16.7.4
- GitLab CE/EE 16.8.1
- 如果无法立即升级,请采取以下缓解措施:
- 限制能够创建工作区的用户的权限。
- 密切监控系统活动,并对可疑行为采取措施。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/gitlab-workspace-creation-vulnerability-allows-file-overwrite.html