【严重】GitLab 以其他用户身份执行 Slack 命令

漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称 GitLab 以其他用户身份执行 Slack 命令
漏洞类型 身份验证错误
发现时间 2024/1/12
漏洞影响广度 广
MPS编号 MPS-pf0c-qykt
CVE编号 CVE-2023-5356
CNVD编号 -

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

相关推荐
黑客思维者13 小时前
Notepad++中高危DLL劫持漏洞深度剖析
notepad++·漏洞·dll劫持
<花开花落>15 小时前
gitlab-runner 再次实践中理解和学习
gitlab
介一安全1 天前
【APK安全】组件安全核心风险与防御指南
网络安全·安全性测试·apk安全
介一安全1 天前
【APK安全】系统管理器安全风险与防御指南
网络安全·安全性测试·apk安全·android测试
Vahala0623-孔勇2 天前
CI/CD流水线优化:GitLab CI镜像构建加速实战
ci/cd·gitlab
emma羊羊2 天前
【文件读写】绕过验证下
网络安全·php·upload·文件读写
Lin_Aries_04212 天前
部署 GitLab 服务器
linux·运维·服务器·docker·gitlab·github
FreeBuf_3 天前
GitLab高危漏洞可致实例崩溃(CVE-2025-10858 和 CVE-2025-8014)
gitlab
云计算练习生3 天前
Linux 操作系统防火墙工具Firewalld常用操作
服务器·网络·网络安全·防火墙·firewalld·linux操作系统
Whoami!3 天前
4-6〔O҉S҉C҉P҉ ◈ 研记〕❘ WEB应用攻击▸文件上传漏洞-A
网络安全·信息安全·文件上传漏洞·oscp