GitLab创建工作区写入任意文件覆盖漏洞

GitLab发布了一个安全补丁,以解决其工作区创建功能中的一个关键漏洞。该漏洞允许经过身份验证的用户向GitLab服务器写入任意文件,这可能导致数据泄露、恶意软件感染或其他安全问题。

漏洞概述

GitLab 再次发布安全补丁,修复其社区版 (CE) 和企业版 (EE) 中的一个严重安全漏洞,该漏洞可用于在创建工作区时写入任意文件。

此漏洞编号为 CVE-2024-0402,其 CVSS 评分为 9.9(满分 10 分)。

GitLab 在 2024 年 1 月 25 日发布的公告中表示:“已发现 GitLab CE/EE 中存在一个问题,影响所有低于 16.5.8、16.6.6、16.7.4 和 16.8.1 的版本,该漏洞允许经过身份验证的用户在创建工作区时将文件写入 GitLab服务器上的任意位置。”

影响版本

  • GitLab CE/EE 所有低于 16.5.8、16.6.6、16.7.4 和 16.8.1 的版本

安全风险

  • 成功利用此漏洞的攻击者可以在 GitLab 服务器上写入任意文件,从而植入恶意代码、窃取敏感数据或破坏系统稳定性。

修复方案

  • 立即升级您的 GitLab 实例到已修复漏洞的版本:
    • GitLab CE/EE 16.5.8
    • GitLab CE/EE 16.6.6
    • GitLab CE/EE 16.7.4
    • GitLab CE/EE 16.8.1
  • 如果无法立即升级,请采取以下缓解措施:
    • 限制能够创建工作区的用户的权限。
    • 密切监控系统活动,并对可疑行为采取措施。

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/gitlab-workspace-creation-vulnerability-allows-file-overwrite-html

讚! (0)
以前的 2024年1月29日 上午7:17
下一個 2024年2月2日 下午6:32

相關推薦