gitlab多处高危漏洞
  • cnnvd编号:未知
  • 危害等级: 高危 
  • cve编号:未知
  • 漏洞类型: 未知
  • 威胁类型:未知
  • 厂       商:未知
  • 漏洞来源:深信服
  • 发布时间:2021-05-06
  • 更新时间:2021-05-06

漏洞简介

1、组件介绍

    gitlab是一个用于仓库管理系统的开源项目,使用git作为代码管理工具,并在此基础上搭建起来的web服务,具有wiki以及在线编辑、issue跟踪功能、ci/cd等功能。

2、漏洞描述

    2021年4月1日,深信服安全团队监测到gitlab官方发布了一则漏洞安全通告,通告中公布了1个严重漏洞,1个高危漏洞。

1. gitlab project import 任意文件读取漏洞

    漏洞危害:严重。攻击者可利用该漏洞在获得权限的情况下,构造恶意数据执行任意文件读取攻击。

2. gitlab wiki page 任意文件读取漏洞

    漏洞危害:高危。攻击者可利用该漏洞在获得权限的情况下,构造恶意数据执行任意文件读取攻击。




漏洞公示

暂无

参考网站

暂无

受影响实体

    gitlab是一个基于git实现的在线代码仓库软件,可以用gitlab搭建一个类似于github一样的仓库,但是gitlab有完善的管理界面和权限控制,一般用于在企业、学校等内部网络搭建git私服,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中受影响资产分布于浙江、广东、山东、北京、上海等省市。


    目前受影响的gitlab版本:

    gitlab ce/ee < 13.8.7

    gitlab ce/ee < 13.9.5

    gitlab ce/ee < 13.10.1

补丁

   当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下: