社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

【漏洞通告】GitLab跨站脚本漏洞(CVE-2023-6033)

启明星辰安全简讯 • 1 年前 • 461 次点击  
一、漏洞概述
CVE   ID

CVE-2023-6033

发现时间

2023-12-01

类    型

XSS

等    级

高危

攻击向量

网络

所需权限

攻击复杂度

用户交互

需要

PoC/EXP

未公开

在野利用

未发现

GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

12月1日,启明星辰VSRC监测到GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-6033),该漏洞的CVSSv3评分为8.7。

该漏洞源于GitLab CE/EE 中的 Jira 集成配置中的输入过滤不当,可能导致通过 Jira 的 Banzai 管道在Markdown中执行XSS和ReDoS攻击,从而可能在受害者的浏览器中执行javascript代码。成功利用该漏洞可能造成信息泄露、会话劫持、网络钓鱼、拒绝服务等。


二、影响范围

15.10 <= GitLab CE/EE版本< 16.6.1

16.5 <= GitLab CE/EE版本< 16.5.3

16.4 <= GitLab CE/EE版本< 16.4.3


三、安全措施

3.1 升级版本

目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE版本16.6.1、16.5.3、16.4.3或更高版本。

下载链接:

https://about.gitlab.com/install/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

使用企业级安全产品,提升企业的网络安全性能。

加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://about.gitlab.com/releases/2023/11/30/security-release-gitlab-16-6-1-released/

https://nvd.nist.gov/vuln/detail/CVE-2023-6033




Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/165084
 
461 次点击