GitLab CE/EE 存储型XSS漏洞

• 漏洞编号：CVE-2023-2442
  
• 漏洞类型：跨站脚本攻击(XSS)
• 漏洞等级：高危
• 发布时间：2023-06-06

              

漏洞描述：

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

近日，监测到GitLab 发布安全更新，其中修复了一个存储型XSS漏洞，在15.11.7之前的所有15.11版本、16.0.2之前的所有16.0版本的Gitlab CE和Gitlab EE中，攻击者可以通过一个特制的合并请求造成客户端的存储型XSS，允许攻击者代表受害者执行任意操作。

 

影响版本：

15.11<=GitLab CE<15.11.7

16.0<=GitLab CE<16.0.2

15.11<=GitLab EE<15.11.7

16.0<=GitLab EE<16.0.2

 

修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

受影响用户可以根据使用的版本升级到对应的

GitLab CE/EE 16.0.2, 

GitLab CE/EE 15.11.7,