GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

漏洞类型 身份验证错误 发现时间 2024-01-12 漏洞等级 严重
MPS编号 MPS-pf0c-qykt CVE编号 CVE-2023-5356 漏洞影响广度 广

漏洞危害

OSCS 描述
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。
GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gitlab [8.13, 16.5.6) 升级 将组件 gitlab 升级至 16.5.6 及以上版本
gitlab [16.6, 16.6.4) 升级 将组件 gitlab 升级至 16.6.4 及以上版本
gitlab [16.7, 16.7.2) 升级 将组件 gitlab 升级至 16.7.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pf0c-qykt

https://gitlab.com/gitlab-org/gitlab/-/commit/f972a67468aa2da9530188930da2fb5225eb1aad

(0)
上一篇 2024年1月10日 下午4:00
下一篇 2024年1月12日 下午8:00

相关推荐

  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0
  • Google Chrome<120.0.6099.199 存在堆缓冲区溢出漏洞 (CVE-2024-0223)

    漏洞类型 堆缓冲区溢出 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-0xpr-q1kb CVE编号 CVE-2024-0223 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES …

    2024年1月5日
    0
  • Google Chrome Navigation模块存在UAF漏洞 (CVE-2023-6112)

    漏洞类型 UAF 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-2wq5-6am8 CVE编号 CVE-2023-6112 漏洞影响广度 一般 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器,Navigation模块是其中负责处理网络通信、响应数据处理和渲染的重要模块。 由于MaybeSta…

    2023年11月16日
    0
  • MLflow<2.9.1 存在SSTI漏洞 (CVE-2023-6709)

    漏洞类型 模板注入 发现时间 2023-12-12 漏洞等级 严重 MPS编号 MPS-sv6t-fu0k CVE编号 CVE-2023-6709 漏洞影响广度 小 漏洞危害 OSCS 描述 MLflow 是用于管理机器学习生命周期的开源平台,recipes 是用于快速构建模型的框架。 MLflow 之前版本中由于直接使用 jinja2 模版引擎加载用户可控…

    2023年12月13日
    0
  • GitLab workspace 任意文件写入漏洞 (CVE-2024-0402)

    漏洞类型 相对路径遍历 发现时间 2024-01-26 漏洞等级 严重 MPS编号 MPS-ao1v-ghp4 CVE编号 CVE-2024-0402 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是基于Git的集成软件开发平台,workspace 是 GitLab 中用于运行隔离开发环境的虚拟沙箱。 GitLab 受影响版本中在用户创建 wor…

    2024年1月27日
    0