GitLab 16.9存储型XSS漏洞 (CVE-2024-1451)

漏洞类型 XSS 发现时间 2024-02-22 漏洞等级 高危
MPS编号 MPS-32tr-yco1 CVE编号 CVE-2024-1451 漏洞影响广度 广

漏洞危害

OSCS 描述
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。
GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞,攻击者可将恶意载荷添加到个人资料(Pronunciation字段)中,并诱导其他用户访问攻击者个人资料进而执行恶意js,攻击者可能利用该漏洞窃取用户会话令牌等敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-32tr-yco1

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gitlab [16.9, 16.9.1) 升级 将组件 gitlab 升级至 16.9.1 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-32tr-yco1

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-32tr-yco1

https://nvd.nist.gov/vuln/detail/CVE-2024-1451

https://gitlab.com/gitlab-org/gitlab-foss/-/commit/eac095941872f337e573563fe59f5c57f7d7c448

https://hackerone.com/reports/2371126

(0)
上一篇 2024年2月23日 上午12:00
下一篇 2024年2月26日 下午12:00

相关推荐

  • Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

    漏洞类型 输入验证不恰当 发现时间 2023-09-20 漏洞等级 高危 MPS编号 MPS-2023-0013 CVE编号 CVE-2023-22513 漏洞影响广度 广 漏洞危害 OSCS 描述 Atlassian Bitbucket 是澳大利亚Atlassian公司的一款Git代码托管解决方案。 在Bitbucket Server 和 Data Cen…

    2023年9月21日
    0
  • curl 存在 fopen 竞争条件漏洞 (CVE-2023-32001) [有POC]

    漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

    2023年8月11日
    0
  • Node.js setuid 权限管理不当漏洞 (CVE-2024-22017)

    漏洞类型 权限管理不当 发现时间 2024-03-19 漏洞等级 高危 MPS编号 MPS-53sx-8oyz CVE编号 CVE-2024-22017 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。 在受影响的版本中,由于lib…

    2024年3月25日
    0
  • Apache bRPC 存在http请求走私风险 (CVE-2024-23452)

    漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞等级 中危 MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。 Apache bRPC 0.9.5至1.7.0版本中由于…

    2024年2月9日
    0
  • GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

    漏洞类型 身份验证错误 发现时间 2024-01-12 漏洞等级 严重 MPS编号 MPS-pf0c-qykt CVE编号 CVE-2023-5356 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。 GitLa…

    2024年1月12日
    0