Descripción de la vulnerabilidad
GitLab es una plataforma de desarrollo colaborativo, control de versiones y alojamiento de código basada en Git.
En las versiones 15.11 a 15.11.6 y 16.0 a 16.0.1 de GitLab CE/EE, cuando GitLab importa un repositorio de GitHub, si el repositorio de GitHub contiene colores de etiqueta de código JavaScript malicioso creado por el usuario, el análisis de estos colores de etiqueta puede resultar en almacenamiento Tipo Vulnerabilidad XSS.
Nombre de vulnerabilidad | GitLab CE/EE tiene una vulnerabilidad XSS almacenada |
---|---|
tipo de vulnerabilidad | secuencias de comandos entre sitios |
Tiempo de descubrimiento | 2023/6/7 |
Amplitud de vulnerabilidad | ancho |
Número MPS | MPS-gl20-qxyv |
número CVE | CVE-2023-2442 |
número CNVD | - |
Esfera de influencia
GitLab CE/EE@[16.0, 16.0.2)
GitLab CE/EE@[15.11, 15.11.7)
Plan de reparación
GitLabCE/EE se puede actualizar a 16.0.2 o posterior según https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/
GitLabCE/EE se puede actualizar a 15.11.7 o posterior según https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/
Link de referencia
https://www.oscs1024.com/hd/MPS-gl20-qxyv
https://gitlab.com/gitlab-org/gitlab/-/issues/370873
https://hackerone.com/reports/1665658
Acerca de Murphy Security
Murphy Security es una empresa de tecnología que le brinda administración de seguridad de la cadena de suministro de software profesional. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La compañía brinda a los clientes una plataforma completa de administración de seguridad de la cadena de suministro de software y proporciona software con un ciclo de vida completo en torno a la gestión de seguridad SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidad y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola tecla.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj
El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida la integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbor y Nexus.
Herramienta de detección de seguridad de código gratuita: https://www.murphysec.com/?sf=qbyj
Suscripción de inteligencia gratuita: https://www.oscs1024.com/cm/?sf=qbyj