发布时间:2021-08-05 23:00:34,来源:北京奇虎科技有限公司
近日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在的17个安全漏洞,其中包含2个高危跨站脚本漏洞,目前这两个漏洞的CVE编号还在申请中。攻击者可利用漏洞实现跨站脚本攻击。目前官方已进行漏洞修复,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
漏洞1:该漏洞源于Mermaid markdown中的输入过滤不足,攻击者可通过特殊构造的markdown文件实现存储型跨站脚本攻击。
漏洞2:攻击者可通过构造特殊的默认分支名称实现存储型跨站脚本攻击。
GitLab CE/EE <14.1.2
GitLab CE/EE <14.0.7
GitLab CE/EE <13.12.9
建议用户将GitLab社区版(CE)和企业版(EE)版本升级至14.1.2、14.0.7和13.12.9进行防护。
下载地址:https://about.gitlab.com/update
https://about.gitlab.com/releases/2021/08/03/security-release-gitlab-14-1-2-released/