Py学习  »  Git

【漏洞通告】GitLab跨站脚本漏洞(CVE-2023-6033)

启明星辰安全简讯 • 2 月前 • 141 次点击  
一、漏洞概述
CVE   ID

CVE-2023-6033

发现时间

2023-12-01

类    型

XSS

等    级

高危

攻击向量

网络

所需权限

攻击复杂度

用户交互

需要

PoC/EXP

未公开

在野利用

未发现

GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

12月1日,启明星辰VSRC监测到GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-6033),该漏洞的CVSSv3评分为8.7。

该漏洞源于GitLab CE/EE 中的 Jira 集成配置中的输入过滤不当,可能导致通过 Jira 的 Banzai 管道在Markdown中执行XSS和ReDoS攻击,从而可能在受害者的浏览器中执行javascript代码。成功利用该漏洞可能造成信息泄露、会话劫持、网络钓鱼、拒绝服务等。


二、影响范围

15.10 <= GitLab CE/EE版本< 16.6.1

16.5 <= GitLab CE/EE版本< 16.5.3

16.4 <= GitLab CE/EE版本< 16.4.3


三、安全措施

3.1 升级版本

目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE版本16.6.1、16.5.3、16.4.3或更高版本。

下载链接:

https://about.gitlab.com/install/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

使用企业级安全产品,提升企业的网络安全性能。

加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/

https://nvd.nist.gov/vuln/detail/CVE-2023-6033




Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/165084
 
141 次点击