北京赛克艾威科技有限公司 2023-05-11
Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。经过身份认证的攻击者利用此漏洞可以使用GraphQL端点将恶意Runner附加到实例上的任何项目上,进一步利用可能造成代码执行或敏感信息泄露。
fofa:title="GitLab"
15.4-15.9.7
15.10-15.10.6
15.11-15.11.2
攻击者可利用该漏洞在目标系统上执行任意代码。
目前官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本:
GitLab CE/EE >= 15.9.7 GitLab CE/EE 15.10.X >= 15.10.6 GitLab CE/EE 15.11.X >= 15.11.2
[https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/](