[Alto riesgo] GitLab CE/EE tiene una vulnerabilidad XSS almacenada

News 2023-06-12 09:07:24 views: null

Descripción de la vulnerabilidad

GitLab es una plataforma de desarrollo colaborativo, control de versiones y alojamiento de código basada en Git.

En las versiones 15.11 a 15.11.6 y 16.0 a 16.0.1 de GitLab CE/EE, cuando GitLab importa un repositorio de GitHub, si el repositorio de GitHub contiene colores de etiqueta de código JavaScript malicioso creado por el usuario, el análisis de estos colores de etiqueta puede resultar en almacenamiento Tipo Vulnerabilidad XSS.

Nombre de vulnerabilidad GitLab CE/EE tiene una vulnerabilidad XSS almacenada
tipo de vulnerabilidad secuencias de comandos entre sitios
Tiempo de descubrimiento 2023/6/7
Amplitud de vulnerabilidad ancho
Número MPS MPS-gl20-qxyv
número CVE CVE-2023-2442
número CNVD -

Esfera de influencia

GitLab CE/EE@[16.0, 16.0.2)

GitLab CE/EE@[15.11, 15.11.7)

Plan de reparación

GitLabCE/EE se puede actualizar a 16.0.2 o posterior según https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/

GitLabCE/EE se puede actualizar a 15.11.7 o posterior según https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/

Link de referencia

https://www.oscs1024.com/hd/MPS-gl20-qxyv

https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/#stored-xss-with-csp-bypass-in-merge-requests

https://gitlab.com/gitlab-org/gitlab/-/issues/370873

https://hackerone.com/reports/1665658

Acerca de Murphy Security

Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj

El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj

inserte la descripción de la imagen aquí

Supongo que te gusta

Origin blog.csdn.net/murphysec/article/details/131092111
Recomendado
Clasificación
Diario
Más
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)

Code World

© 2018 codetd.com