【严重】GitLab 以其他用户身份执行 Slack 命令

漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称 GitLab 以其他用户身份执行 Slack 命令
漏洞类型 身份验证错误
发现时间 2024/1/12
漏洞影响广度 广
MPS编号 MPS-pf0c-qykt
CVE编号 CVE-2023-5356
CNVD编号 -

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

相关推荐
让生命变得有价值2 小时前
使用 helm 部署 gitlab
gitlab·helm
Kkooe2 小时前
GitLab|GitLab报错:PG::ConnectionBad: could not connect to server...
gitlab
未完结的牵挂4 小时前
高质量代理池go_Proxy_Pool
网络安全
HackKong5 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
澜世6 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全
vortex57 小时前
信息收集系列(六):路径爬取与目录爆破
网络安全·渗透·信息收集
.Ayang8 小时前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
pumpkin845149 小时前
GitHub 和 GitLab
gitlab·github
星竹9 小时前
upload-labs-master第12关详细教程
网络安全
饮长安千年月9 小时前
浅谈就如何解出Reverse-迷宫题之老鼠走迷宫的一些思考
python·网络安全·逆向·ctf