GitLab本周四緊急發布安全補丁,修復一個可讓攻擊者以其他用戶身份運行管道的嚴重漏洞。

該漏洞編號為CVE-2023-5009(CVSS評分:9.6),影響從13.12到16.2.7以及從16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究員JohanCarlsson(又名joaxcar)發現并報告了該漏洞。

GitLab在一份公告中表示:“攻擊者有可能通過預定的安全掃描策略以任意用戶身份運行管道。”“該漏洞是CVE-2023-3932(GitLab于2023年8月上旬修復了該漏洞)的繞過,并顯示出額外的影響。”

通過利用CVE-2023-5009,攻擊者可以訪問敏感信息或利用冒充用戶的權限來修改源代碼或在系統上運行任意代碼,從而導致嚴重后果。

目前漏洞CVE-2023-5009已在GitLab版本16.3.4和16.2.7中修復。

值得注意的是,在此次漏洞披露之際,一個已有兩年歷史的GitLab嚴重漏洞(CVE-2021-22205,CVSS評分:10.0)仍然頻繁在現實攻擊中被黑客積極利用。

本周早些時候,趨勢科技透露,黑客組織EarthLusca正通過利用包括CVE-2021-22205在內的N日漏洞武器化,攻擊面向公眾的服務器來滲透目標網絡。

GitLab強烈建議用戶盡快將已安裝的GitLab更新到最新版本,以防范潛在風險。

高危 漏洞 安全 補丁
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接