【严重】GitLab 以其他用户身份执行 Slack 命令

漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称 GitLab 以其他用户身份执行 Slack 命令
漏洞类型 身份验证错误
发现时间 2024/1/12
漏洞影响广度 广
MPS编号 MPS-pf0c-qykt
CVE编号 CVE-2023-5356
CNVD编号 -

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

相关推荐
sunyanchun1 小时前
gitlab上传新仓库,保留原仓库提交记录,原仓库远程地址已经失效,只有本机还有提交记录
gitlab·1024程序员节
Dreamboat-L1 小时前
从零开始在云服务器上部署Gitlab
运维·服务器·gitlab
介一安全8 小时前
【Frida Android】基础篇12:Native层hook基础——调用原生函数
android·网络安全·逆向·安全性测试·frida·1024程序员节
m0_7381207210 小时前
网络安全编程——TCP客户端以及服务端Python实现
python·tcp/ip·安全·web安全·网络安全
白帽子黑客罗哥12 小时前
Redis实战深度剖析:高并发场景下的架构设计与性能优化
redis·网络安全·性能优化·高并发·分布式锁·秒杀系统·缓存架构
半路_出家ren13 小时前
设计一个学生管理系统的数据库
linux·数据库·sql·mysql·网络安全·数据库管理员
儒道易行19 小时前
【攻防实战】Redis未授权RCE联动metasploit打穿三层内网(上)
数据库·redis·网络安全·缓存
small_white_robot21 小时前
vulnerable_docker_containement 靶机
运维·网络·web安全·网络安全·docker·容器
Gss7772 天前
gitlab介绍与部署
gitlab
Bruce_Liuxiaowei2 天前
[特殊字符] C&C服务器:网络攻击的指挥中心
运维·服务器·网络安全