GitLab 存储型XSS漏洞
漏洞描述
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。
在GitLab受影响版本中存在存储型XSS漏洞,由于Kroki过滤器中对接收的image_src过滤不严,攻击者可通过恶意构造的Kroki图表,当用户访问该图表时,即可触发恶意代码,进行执行任意JS代码。
| 漏洞名称 | GitLab 存储型XSS漏洞 |
|---|---|
| 漏洞类型 | 跨站脚本 |
| 发现时间 | 2023-03-03 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-0208 |
| CVE编号 | CVE-2023-0050 |
| CNVD编号 | - |
影响范围
GitLab CE@[13.7, 15.7.8)
GitLab CE@[15.8, 15.8.4)
GitLab CE@[15.9, 15.9.2)
GitLab EE@[15.9, 15.9.2)
GitLab EE@[15.8, 15.8.4)
GitLab EE@[13.7, 15.7.8)
修复方案
将组件 GitLab EE 升级至 15.7.8 及以上版本
将组件 GitLab CE 升级至 15.7.8 及以上版本
将组件 GitLab CE 升级至 15.8.4 及以上版本
将组件 GitLab CE 升级至 15.9.2 及以上版本
将组件 GitLab EE 升级至 15.9.2 及以上版本
将组件 GitLab EE 升级至 15.8.4 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-0208
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
