GitLab DAST 存在业务逻辑漏洞
漏洞描述
GitLab DAST 是一款动态应用程序安全测试工具。
该项目受影响版本存在信息泄露漏洞,当使用DAST 扫描身份验证类型页面时会对页面中的每个URL发起一个http请求同时携带DAST 自定义的header信息,这可能将token等信息发送到其他域,进而造成敏感信息泄露。
| 漏洞名称 | GitLab DAST 存在业务逻辑漏洞 |
|---|---|
| 漏洞类型 | 业务逻辑错误 |
| 发现时间 | 2023-03-09 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-66983 |
| CVE编号 | CVE-2022-4315 |
| CNVD编号 | - |
影响范围
GitLab DAST@[2.0, 3.0.55)
修复方案
将组件 GitLab DAST 升级至 3.0.55 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-66983
https://gitlab.com/gitlab-org/gitlab/-/issues/384995、 Issue
[ Hyperlink Resource https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4315.json、 Issue]( Hyperlink Resource https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4315.json " Hyperlink Resource https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4315.json")
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Kyuubi 毕业首发!1.7.0 版本:60+ 贡献者,700+ 提交!
2023年03月08日,Apache Kyuubi 发布 1.7.0 版本。这是 Kyuubi 自 Apache 基金会毕业成为顶级项目(Top-Level Project)以来公开发行的第一个版本。 此次 Apahce Kyuubi 1.7.0 版本发布由来自社区的 63 位贡献者参与完成了 700 多次提交,在此感谢各位的贡献! 在这个版本有如下重大更新: 基于 Spark 3.1, 3.2 和 3.3 做了充分验证, 初步支持即将发布的 3.4 基于 Flink 1.14, 1.15 和 1.16 做了充分验证 新增 Trino 接入协议 (实验特性) 新增 Spark 血缘插件 (实验特性) 新增 Spark Hive 连接器 (实验特性) Spark 引擎支持基于 Arrow 序列化的高性能结果集传输 Spark 引擎支持执行 Python/PySpark 脚本 (实验特性) 诸多 Kyuubi Helm Chart 和 Spark on K8s 改进 REST 和 Batch 接口在功能、客户端和稳定性上进一步增强 Spark 权限插件重大改进,并包含了对 Apache I...
- 下一篇
Apache DolphinScheduler GitHub Star 突破 10000+!
今天,Apache DolphinScheduler GitHub Star 突破 10000,项目迎来一个重要里程碑。这表明 Apache DolphinScheduler 已经在全球的开发者和用户中获得了广泛的认可和使用。 DolphinScheduler 旨在解决公司日常运营中的大数据处理工作流调度和执行问题,2018 年以 Apache License 2.0 的开源协议发布,并在社区中获得大力支持。目前,Apache DolphinScheduler 项目在 GitHub 上已获得 10K Star,拥有 400+ 贡献者,累积发版 40+ ,Fork 3.7K ,Pull Request 接近 7000 ,并已应用于 3000+ 家公司生产实践环境。 该平台提供了 强大且易于使用的 Web 界面 ,用户可以在其中创建、调度和监控工作流。它 支持多种数据处理引 擎,包括 Hadoop、Spark、Flink 和 Hive,并可以轻松地 与各种数据存储系统(如 HDFS、S3 和 MySQL)集成 。 DolphinScheduler 的 架构基于分布式和高可用设计,保证了...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
微信收款码
支付宝收款码