首頁 > 安全研究 > 安全通報 > 安全通告

GitLab 7月多個安全漏洞

發布時間 2021-07-02

0x00 漏洞概述

image.png

GitLab是一個用于倉庫管理系統的開源項目,其使用Git作為代碼管理工具,可通過Web界面訪問公開或私人項目。

2021年07月01日,GitLab發布安全公告,修復了GitLab社區版(CE)和企業版(EE)中的多個安全漏洞,攻擊者可以利用這些漏洞造成信息泄露、拒絕服務、未授權訪問或執行其它操作。

 

0x01 漏洞詳情

本次修復的漏洞涉及Dos、CSRF、信息泄露、未授權訪問、XSS以及HTML注入等,這些漏洞的CVSSv3評分范圍為3.5-7.7。

其中,高危漏洞為2個(分別為Dos和CSRF),中危漏洞為15個(如私人項目信息泄露、拒絕為用戶配置文件頁面提供服務、停用的用戶可以通過GraphQL訪問數據,以及各種XSS漏洞等),低危漏洞為2個(如全名字段中的HTML注入)。

 

部分漏洞詳情如下:

GitLab Webhook Dos漏洞

GitLab的Webhook功能可以被濫用來執行拒絕服務攻擊,該漏洞的CVSS評分為7.7。該漏洞的利用復雜度低、所需權限低,且無需用戶交互。

 

GraphQL API CSRF漏洞

GitLab的GraphQL API存在跨站請求偽造漏洞,攻擊者可以通過GET請求執行更改操作,該漏洞的CVSS評分為7.1。該漏洞無需特殊權限即可利用,并且利用復雜度低,但需用戶交互。

 

影響范圍

Gitlab CE/EE < 14.0.2

Gitlab CE/EE < 13.12.6

Gitlab CE/EE < 13.11.6

 

0x02 處置建議

目前這些漏洞已經修復,建議升級至以下版本:

Gitlab CE/EE  14.0.2

Gitlab CE/EE  13.12.6

Gitlab CE/EE  13.11.6

下載鏈接:

https://about.gitlab.com/update/

 

0x03 參考鏈接

https://about.gitlab.com/releases/2021/07/01/security-release-gitlab-14-0-2-released/

https://about.gitlab.com/update/

 

0x04 時間線

2021-07-01    GitLab發布安全公告

2021-07-02    VSRC發布安全通告

 

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇