其他
GitLab发布紧急安全补丁修复高危漏洞
GitLab本周四紧急发布安全补丁,修复一个可让攻击者以其他用户身份运行管道的严重漏洞。
该漏洞编号为CVE-2023-5009(CVSS评分:9.6),影响从13.12到16.2.7以及从16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究员JohanCarlsson(又名joaxcar)发现并报告了该漏洞。
GitLab在一份公告中表示:“攻击者有可能通过预定的安全扫描策略以任意用户身份运行管道。”“该漏洞是CVE-2023-3932(GitLab于2023年8月上旬修复了该漏洞)的绕过,并显示出额外的影响。”
通过利用CVE-2023-5009,攻击者可以访问敏感信息或利用冒充用户的权限来修改源代码或在系统上运行任意代码,从而导致严重后果。
目前漏洞CVE-2023-5009已在GitLab版本16.3.4和16.2.7中修复。
值得注意的是,在此次漏洞披露之际,一个已有两年历史的GitLab严重漏洞(CVE-2021-22205,CVSS评分:10.0)仍然频繁在现实攻击中被黑客积极利用。
本周早些时候,趋势科技透露,黑客组织EarthLusca正通过利用包括CVE-2021-22205在内的N日漏洞武器化,攻击面向公众的服务器来渗透目标网络。
GitLab强烈建议用户尽快将已安装的GitLab更新到最新版本,以防范潜在风险。
参考链接:
https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/
END
相关阅读