漏洞情報 | GitLab發布安全更新修復跨站腳本漏洞

0x01 漏洞描述

GitLab是由GitLab Inc.開發的一款基于Git的完全集成的軟件開發平臺，是一個用于倉庫管理系統的開源項目。

360漏洞云監測到GitLab今日發布了安全更新，其中包含對兩個高危跨站腳本漏洞的修復。目前這兩個漏洞的CVE編號還在申請中。

• 漏洞#1：該漏洞源于Mermaid markdown中的輸入過濾不足，攻擊者可通過特殊構造的markdown文件實現存儲型跨站腳本攻擊。
• 漏洞#2：攻擊者可通過構造特殊的默認分支名稱實現存儲型跨站腳本攻擊。

0x02 危害等級

高危：8.7

0x03 影響版本

GitLab <14.1.2

GitLab <14.0.7

GitLab <13.12.9

0x04 修復版本

GitLab 14.1.2

GitLab 14.0.7

GitLab 13.12.9

0x05 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本