网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于GitLab跨站脚本漏洞(CVE-2023-6033)的安全预警

日期:2023-12-05阅读:

关于GitLab跨站脚本漏洞(CVE-2023-6033)的安全预警

一、 基本情况

GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

二、 漏洞描述

GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-6033),该漏洞的CVSSv3评分为8.7

该漏洞源于GitLab CE/EE 中的 Jira 集成配置中的输入过滤不当,可能导致通过 Jira Banzai 管道在Markdown中执行XSSReDoS攻击,从而可能在受害者的浏览器中执行javascript代码。成功利用该漏洞可能造成信息泄露、会话劫持、网络钓鱼、拒绝服务等。

三、 影响范围

15.10 <= GitLab CE/EE版本< 16.6.1

16.5 <= GitLab CE/EE版本< 16.5.3

16.4 <= GitLab CE/EE版本< 16.4.3

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE版本16.6.116.5.316.4.3或更高版本。

下载链接:

https://about.gitlab.com/install/

五、 参考链接

https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/

https://nvd.nist.gov/vuln/detail/CVE-2023-6033

 

 

我是盾盾