漏洞描述

GitLab 是一个基于 Git 的代码托管和协作平台。

GitLab EE/CE 从 11.5 到 15.8.5、从 15.9 到 15.9.4，以及从 15.10 到 15.10.1 版本中存在信息泄露漏洞，具有管理员权限的攻击者可以利用该漏洞获取仓库(repository)镜像配置中的密码。

影响范围

GitLab EE/CE@[11.5, 15.8.5)

GitLab EE/CE@[15.9, 15.9.4)

GitLab EE/CE@[15.10, 15.10.1)

修复方案

升级GitLab EE/CE到 15.8.5 、15.9.4、15.10.1或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-6595

https://nvd.nist.gov/vuln/detail/CVE-2023-1098

https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/#arbitrary-html-injection-possible-when-soft_email_confirmation-feature-flag-is-enabled-in-the-latest-release

https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-1098.json

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc