Gitlab多處高危漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):未知
  • 漏洞類型: 未知
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-05-06
  • 更新時(shí)間:2021-05-06

漏洞簡(jiǎn)介

1、組件介紹

    GitLab是一個(gè)用于倉(cāng)庫(kù)管理系統(tǒng)的開(kāi)源項(xiàng)目,使用Git作為代碼管理工具,并在此基礎(chǔ)上搭建起來(lái)的Web服務(wù),具有wiki以及在線編輯、issue跟蹤功能、CI/CD等功能。

2、漏洞描述

    2021年4月1日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到Gitlab官方發(fā)布了一則漏洞安全通告,通告中公布了1個(gè)嚴(yán)重漏洞,1個(gè)高危漏洞。

1. Gitlab Project Import 任意文件讀取漏洞

    漏洞危害:嚴(yán)重。攻擊者可利用該漏洞在獲得權(quán)限的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行任意文件讀取攻擊。

2. Gitlab Wiki Page 任意文件讀取漏洞

    漏洞危害:高危。攻擊者可利用該漏洞在獲得權(quán)限的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行任意文件讀取攻擊。




漏洞公示

暫無(wú)

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

    GitLab是一個(gè)基于Git實(shí)現(xiàn)的在線代碼倉(cāng)庫(kù)軟件,可以用GitLab搭建一個(gè)類似于GitHub一樣的倉(cāng)庫(kù),但是GitLab有完善的管理界面和權(quán)限控制,一般用于在企業(yè)、學(xué)校等內(nèi)部網(wǎng)絡(luò)搭建Git私服,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)大陸省份中受影響資產(chǎn)分布于浙江、廣東、山東、北京、上海等省市。


    目前受影響的Gitlab版本:

    Gitlab CE/EE < 13.8.7

    Gitlab CE/EE < 13.9.5

    Gitlab CE/EE < 13.10.1

補(bǔ)丁

   當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/