GitLab代码执行漏洞

漏洞编号

CVE-2023-2478

漏洞类型

远程代码执行(RCE)

漏洞等级

严重

发布时间

2023-05-08

漏洞描述

GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

2023年5月6日,GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个代码执行漏洞,漏洞编号:CVE-2023-2478,漏洞危害等级:严重。

GitLab CE/EE多个受影响版本中,某些情况下实例上经过身份验证的任何GitLab 用户都可以利用该漏洞,使用GraphQL端点将恶意运行程序附加到实例上的任意项目,成功利用可能导致敏感信息泄露或代码执行等。

影响版本

15.4<=GitLab CE<15.9.7

15.10<=GitLab CE<15.10.6

15.11<=GitLab CE<15.11.2

15.4<=GitLab EE<15.9.7

15.10<=GitLab EE<15.10.6

15.11<=GitLab EE<15.11.2

修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:
GitLab CE/EE版本:>= 15.9.7
GitLab CE/EE版本:>= 15.10.6
GitLab CE/EE版本:>= 15.11.2
下载链接:
https://about.gitlab.com/update/

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号