GitLab兩個高危跨站腳本漏洞預警

一、漏洞情況

近日，GitLab發布安全更新公告，修復了GitLab社區版(CE)和企業版(EE)存在的17個安全漏洞，其中包含2個高危跨站腳本漏洞，目前這兩個漏洞的CVE編號還在申請中。攻擊者可利用漏洞實現跨站腳本攻擊。目前官方已進行漏洞修復，建議受影響用戶及時升級至最新版本進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

GitLab是一個用于倉庫管理系統的開源項目，使用Git作為代碼管理工具，可通過Web界面訪問公開或私人項目。

漏洞1：該漏洞源于Mermaid markdown中的輸入過濾不足，攻擊者可通過特殊構造的markdown文件實現存儲型跨站腳本攻擊。

漏洞2：攻擊者可通過構造特殊的默認分支名稱實現存儲型跨站腳本攻擊。

四、影響范圍

• GitLab CE/EE <14.1.2
• GitLab CE/EE <14.0.7
• GitLab CE/EE <13.12.9

五、安全建議

建議用戶將GitLab社區版（CE）和企業版（EE）版本升級至14.1.2、14.0.7和13.12.9進行防護。

下載地址：https://about.gitlab.com/update

六、參考鏈接

https://about.gitlab.com/releases/2021/08/03/security-release-gitlab-14-1-2-released/