关键词
漏洞
![](http://dingyue.ws.126.net/2024/0524/64f9b140j00sdzmhj000qd200j600asg00id00ab.jpg)
打开网易新闻 查看精彩图片
GitLab :一个基于网络的 Git 存储库,主要面向需要远程管理代码的开发团队,目前共拥有约 3000 万注册用户和 100 万付费客户。
收到 CVE-2024-4835 安全漏洞通知后,GitLab 方面表示,在近期发布的 GitLab 社区版(CE)和企业版(EE)的17.0.1、16.11.3 和 16.10.6 版本中都修复了安全漏洞问题,强烈建议所有 GitLab 用户立即升级到其中一个版本。
CVE-2024-4835 安全漏洞是 VS 代码编辑器(Web IDE)中的一个 XSS 缺陷,允许威胁攻击者利用恶意制作的页面窃取部分信息。值得一提的是,虽然威胁攻击者可在未经身份验证的攻击中利用该漏洞,但仍需要与用户交互,这就增加攻击的复杂性。
![](http://dingyue.ws.126.net/2024/0524/de08cd26j00sdzmhj0017d200ir008eg00id0087.jpg)
打开网易新闻 查看精彩图片
GitLab 安全漏洞频出
众所周知,GitLab 存放着包括 API 密钥、专有代码等各种类型的敏感数据,因此早就成为了很多威胁攻击组织眼中的”香饽饽“。一旦有威胁攻击者成功在 CI/CD(持续集成/持续部署)环境中插入恶意代码,破坏组织的资源库,那么被劫持的 GitLab 账户就会面临着重大的网络安全风险,甚至引发严重供应链攻击。
![](http://dingyue.ws.126.net/2024/0524/e229d69dj00sdzmhk000qd200e800aog00hv00de.jpg)
打开网易新闻 查看精彩图片
2023 年 5月,GitLab 突然发布了 16.0.1 版紧急安全更新,解决了一个被追踪为 CVE-2023-2825 的严重性路径遍历漏洞,该漏洞 CVSS 评分10.0。
据悉,CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的威胁攻击者便可以在服务器上读取任意文件。不仅如此,一旦成功利用 CVE-2023-2825 漏洞,还可能会非法访问包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。
好消息是,CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关,因此安全漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴