本周,GitLab发布了一个重要的安全补丁,以修复一个严重身份认证绕过漏洞(CVE-2023-5009,CVSS 分数:9.6)。
GitLab安全公告中写道:“发现了一个影响GitLab EE(从13.12版本开始到16.2.7之前的所有版本,以及从16.3版本开始到16.3.4之前的所有版本)的问题。攻击者能够通过计划的安全扫描策略以任意用户身份运行流水线。这是对CVE-2023-3932的绕过,显示出额外的影响。这是一个critical级别的高严重性问题。”
据了解,攻击者可以利用此漏洞访问敏感信息,或使用所冒充用户的提升权限来访问或修改源代码,或在系统上运行任意代码。
该漏洞由安全研究员Johan Carlsson通过GitLab HackerOne漏洞赏金计划报告。GitLab为此发布了Community Edition(社区版)的16.3.4版本和Enterprise Edition(企业版)的16.2.7版本以修复此漏洞。
GitLab.com目前已在运行修补版本。为降低此漏洞的风险,GitLab强烈建议所有用户立即升级到GitLab社区版(CE)和企业版(EE)的最新版本。对于不便升级的情况,为缓解漏洞影响,用户需要禁用“Direct transfers”和“Security policies”其中至少一个功能。假如同时启用了这两个功能,则会处于易受攻击状态。
编辑:左右里
资讯来源:gitlab、X
转载请注明出处和本文链接
本文含有隐藏内容,请 开通VIP 后查看