关键 GitLab 漏洞允许帐户劫持
GitLab,这个知名的软件开发平台,最近解决了一个可能允许黑客通过未经身份验证的攻击控制用户帐户的关键安全问题。
这个被标识为 CVE20244835 的安全漏洞源于平台的 VS Code 编辑器Web IDE中的一个 跨站脚本 (XSS) 缺陷。攻击者可以利用这个漏洞,引导用户访问旨在窃取敏感信息的恶意网页。
GitLab 发布安全更新
作为回应,GitLab 快速推出了修复措施。“今天,我们发布了 GitLab 社区版 (CE) 和企业版 (EE) 的版本 1701、16113 和 16106,” GitLab 表示。 “这些版本包含了重要的错误和安全修复,我们强烈建议所有 GitLab 安装立即升级到这些版本之一。”
除了 XSS 漏洞外,GitLab 还在周三解决了另外六个安全问题,包括通过 Kubernetes 代理服务器的 CSRF 漏洞 (CVE20237045) 和能够中断网页资源加载的拒绝服务问题 (CVE20242874)。
GitLab 最新更新中修复的安全问题 (来源 GitLab)
账户劫持风险增加
由于平台所托管数据的敏感性,GitLab 一直是高价值的攻击目标。被劫持的 GitLab 账户后果严重,攻击者可能通过在持续集成/持续部署 (CI/CD) 管道中插入恶意代码来策划供应链攻击,从而危及整个软件代码库。
随着紧迫性加大,网络安全和基础设施安全局 (CISA) 强调,威胁行为者正在积极利用另一个已在一月份被 GitLab 修复的严重漏洞。这个特定漏洞 CVE20237028 允许黑客通过重置密码控制 GitLab 账户,而无需用户任何交互。
油管加速器官网值得注意的是,Shadowserver 报告称,在一月份曝光的超过 5300 个 GitLab 实例中,仍有 2084 个是可访问的。CISA 已将此问题上升为重点,已将 CVE20237028 纳入已知的利用漏洞目录,要求美国联邦机构在 5 月 22 日之前加强其系统安全。
结束语
时刻保持对安全威胁的警惕至关重要。通过最新的补丁,GitLab 正在保护你的数据。请确保立即更新,以便在为时已晚之前保障你的项目安全!
安纳斯哈桑
2024年5月24日
5 个月前
安纳斯哈桑是一位科技迷和网络安全爱好者,拥有丰富的数字化转型行业经验。当安纳斯不在博客写作时,他会观看足球比赛。