警惕!GitLab身份认证绕过漏洞(CVE-2023-4998)风险通告
2024-03-02 05:27:05
GitLab 官方披露存在 CVE-2023-4998 身份认证绕过漏洞,该漏洞严重且影响范围较大,建议用户尽快采取修复措施。
漏洞基本信息
漏洞编号:CVE-2023-4998
漏洞等级:CVSS3.1 评分为 9.6,官方评级为严重。
漏洞类型:身份认证缺陷,属于 CVE-2023-3932 的绕过。
漏洞状态:漏洞细节和 PoC(概念验证代码)已公开,EXP(利用代码)未公开,在野利用情况未知。
漏洞影响
风险描述:低权限用和脊户可能通过计划的安全扫描策略,以任意用户身份运行管道作业,导致敏感信息泄漏等风险。
受影响版本:
GitLab CE(社区版):13.12 ≤ 版本 < 16.2.7;16.3 ≤ 版本 < 16.3.4
GitLab EE(企业版):13.12 ≤ 版本 < 16.2.7;16.3 ≤ 版本 < 16.3.4
利用条件
需要攻击者具备任意用户登录状态,即可尝试利用此漏洞。
修复建议
升级版本:
官方已发布修复版本,建议用户尽快升级至以下版本:
GitLab EE 版本:16.3.4 或 16.2.7
GitLab CE 版本:16.3.4 或 16.2.7
下载链接可通过亚信安全官方公众号【亚信安全】获取。
临时措施:
如果无法立即升级,GitLab EE 版本 16.2 之前唤雹渗的用户可启用以下功能之一作为缓解措施:
Direct transfers
Security policies
注意:如果同时启用了这两个功能,系统仍会受到该漏洞影响。
其他信息
GitLab 简介:GitLab 是一个基于 Git 的开源代码管理平台,使用 Git 作为代码管理工肆悄具,并在此基础上搭建 Web 服务。它主要针对软件开发过程中产生的代码和文档进行管理,基于 Ruby on Rails 构建,被广泛使用。
参考链接:更多详细信息和参考链接可通过亚信安全官方公众号【亚信安全】获取。
热门标签
