GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

漏洞类型 身份验证错误 发现时间 2024-01-12 漏洞等级 严重
MPS编号 MPS-pf0c-qykt CVE编号 CVE-2023-5356 漏洞影响广度 广

漏洞危害

OSCS 描述
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。
GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gitlab [8.13, 16.5.6) 升级 将组件 gitlab 升级至 16.5.6 及以上版本
gitlab [16.6, 16.6.4) 升级 将组件 gitlab 升级至 16.6.4 及以上版本
gitlab [16.7, 16.7.2) 升级 将组件 gitlab 升级至 16.7.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-pf0c-qykt

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-pf0c-qykt

https://gitlab.com/gitlab-org/gitlab/-/commit/f972a67468aa2da9530188930da2fb5225eb1aad

(0)
上一篇 2024年1月10日 下午4:00
下一篇 2024年1月12日 下午8:00

相关推荐

  • OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047)

    漏洞类型 模板注入 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-ftvy-n7x2 CVE编号 CVE-2023-41047 漏洞影响广度 一般 漏洞危害 OSCS 描述 OctoPrint是一个开源的3D打印机管理和控制软件,提供用户界面以监控和控制3D打印过程,支持远程访问和插件扩展。 在OctoPrint受影响的版本中,允许恶意…

    2023年10月10日
    0
  • Apache Airflow信息泄漏漏洞 (CVE-2023-45348)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-14 漏洞等级 高危 MPS编号 MPS-ovuh-jial CVE编号 CVE-2023-45348 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow是一个开源的、分布式的任务调度和工作流自动化平台,可用于编排、调度和监控数据处理任务和数据流。”expose_co…

    2023年10月16日
    0
  • Apache Submarine SQL 注入漏洞 (CVE-2023-37924)

    漏洞类型 SQL注入 发现时间 2023-11-22 漏洞等级 严重 MPS编号 MPS-ajf4-uzhd CVE编号 CVE-2023-37924 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。…

    2023年11月23日
    0
  • 企业微信私有化2.5-2.6.93版本后台 API 未授权访问漏洞 [有POC]

    漏洞类型 未授权敏感信息泄露 发现时间 2023/8/12 漏洞等级 高危 MPS编号 MPS-3mwt-574l CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 企业微信私有化2.5.x版本及2.6.930000版本以下后台中存在接口未授权访问漏洞,攻击者通过访问/cgi-bin/gateway/agentinfo接口可获得Secr…

    2023年9月1日
    0
  • libwebp堆缓冲区溢出漏洞 (CVE-2023-5129)

    漏洞类型 输入验证不恰当 发现时间 2023-09-26 漏洞等级 严重 MPS编号 MPS-wr17-50l6 CVE编号 CVE-2023-5129 漏洞影响广度 广 漏洞危害 OSCS 描述 WebP是由Google开发的一种栅格图形文件格式,旨在取代JPEG、PNG和GIF文件格式,libwebp是其解析处理的标准实现,被Chromium、Firef…

    2023年9月27日
    0