GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

漏洞类型 身份验证错误 发现时间 2024-01-12 漏洞等级 严重
MPS编号 MPS-pf0c-qykt CVE编号 CVE-2023-5356 漏洞影响广度 广

漏洞危害

OSCS 描述
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。
GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gitlab [8.13, 16.5.6) 升级 将组件 gitlab 升级至 16.5.6 及以上版本
gitlab [16.6, 16.6.4) 升级 将组件 gitlab 升级至 16.6.4 及以上版本
gitlab [16.7, 16.7.2) 升级 将组件 gitlab 升级至 16.7.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pf0c-qykt

https://gitlab.com/gitlab-org/gitlab/-/commit/f972a67468aa2da9530188930da2fb5225eb1aad

(0)
上一篇 2024年1月10日 下午4:00
下一篇 2024年1月12日 下午8:00

相关推荐

  • PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

    漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重 MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。 Paddle…

    2024年1月4日
    0
  • JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0
  • Apache Ozone 身份验证不当漏洞 (CVE-2023-39196)

    漏洞类型 身份验证不当 发现时间 2024-02-08 漏洞等级 中危 MPS编号 MPS-p28e-s1h5 CVE编号 CVE-2023-39196 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Ozone 是用于 Hadoop 和云原生的分布式对象存储系统。 Apache Ozone 1.2.0至1.3.0版本存在身份验证不当漏洞,该漏洞允…

    2024年2月8日
    0
  • Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危 MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度 小 漏洞危害 OSCS 描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录…

    2023年8月25日
    0
  • Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    漏洞类型 反序列化 发现时间 2023-08-29 漏洞等级 高危 MPS编号 MPS-qkdx-17bc CVE编号 CVE-2023-40195 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。…

    2023年8月31日
    0