GitLab 高危漏洞(CVE-2024-4835)可让攻击者接管账户

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科GitLab 高危漏洞(CVE-2024-4835)可让攻击者接管账户

GitLab 修补了一个高严重性漏洞,未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。

该安全漏洞(跟踪为CVE-2024-4835)是 VS 代码编辑器(Web IDE)中的一个 XSS 弱点,它允许攻击者使用恶意制作的页面窃取受限信息。

虽然他们可以在不需要身份验证的攻击中利用此漏洞,但仍然需要用户交互,从而增加了攻击的复杂性。

GitLab发布 GitLab 社区版(CE)和企业版(EE)的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。

周三,该公司还修复了其他六个中等严重程度的安全漏洞,包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。

安全公告链接:https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/

5

旧账户劫持漏洞被积极利用

GitLab 是一个受黑客欢迎的攻击目标,它以托管各种类型的敏感数据而闻名,包括 API 密钥和专有代码。

如果攻击者在 CI/CD(持续集成/持续部署)环境中插入恶意代码,危及组织的存储库,那么被劫持的 GitLab 帐户可能会产生重大影响,包括供应链攻击。

正如 CISA 本月早些时候警告的那样,攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028,允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。

尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露,目前仍有一半未修复,可访问的还2,084 个。

CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中,要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容