一、背景介绍
近日,市委网信办技术支撑单位监测到GitLab代码执行漏洞(CVE-2023-2478),经过身份认证的远程攻击者利用此漏洞可以通过GraphQL端点将恶意Runner附加到实例上的任何项目上,进一步利用可能造成代码执行或敏感信息泄露。
1.1 漏洞描述
Gitlab 是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。
1.2漏洞编号
CVE-2023-2478
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
15.4 <= GitLab CE/EE < 15.9.7
15.10 <= GitLab CE/EE 15.10.X < 15.10.6
15.11 <= GitLab CE/EE 15.11.X < 15.11.2
2.2修复建议
目前官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
GitLab CE/EE >= 15.9.7
GitLab CE/EE 15.10.X >= 15.10.6
GitLab CE/EE 15.11.X >= 15.11.2
下载地址:
https://about.gitlab.com/update/