【严重】GitLab 以其他用户身份执行 Slack 命令

漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称 GitLab 以其他用户身份执行 Slack 命令
漏洞类型 身份验证错误
发现时间 2024/1/12
漏洞影响广度 广
MPS编号 MPS-pf0c-qykt
CVE编号 CVE-2023-5356
CNVD编号 -

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

相关推荐
Chockmans7 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天4321 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
菩提小狗1 天前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
想你依然心痛1 天前
持续集成在嵌入式开发中的实践:GitLab CI与交叉编译——自动化构建、固件生成
ci/cd·自动化·gitlab
菩提小狗2 天前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
Sean‘2 天前
GitLab 升级后 502:Puma 反复重启问题处理记录
docker·gateway·gitlab
中云DDoS CC防护蔡蔡2 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
菩提小狗2 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
忡黑梨2 天前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
NexTunnel2 天前
告别传统组网,也能安全访问公司 GitLab / SVN
安全·svn·gitlab