当前位置:首页 > 漏洞预警 > 正文

GitLab两个高危跨站脚本漏洞预警

发布时间:2021-08-05 23:00:34,来源:北京奇虎科技有限公司

      一、 基本情况

近日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在的17个安全漏洞,其中包含2个高危跨站脚本漏洞,目前这两个漏洞的CVE编号还在申请中。攻击者可利用漏洞实现跨站脚本攻击。目前官方已进行漏洞修复,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

漏洞1:该漏洞源于Mermaid markdown中的输入过滤不足,攻击者可通过特殊构造的markdown文件实现存储型跨站脚本攻击。

漏洞2:攻击者可通过构造特殊的默认分支名称实现存储型跨站脚本攻击。

      四、 影响范围

GitLab CE/EE <14.1.2

GitLab CE/EE <14.0.7

GitLab CE/EE <13.12.9

      五、 安全建议

建议用户将GitLab社区版(CE)和企业版(EE)版本升级至14.1.2、14.0.7和13.12.9进行防护。

下载地址:https://about.gitlab.com/update

      六、 参考链接

https://about.gitlab.com/releases/2021/08/03/security-release-gitlab-14-1-2-released/