CVE-2023-2478：GitLab代码执行漏洞通告

报告编号：CERT-R-2023-144

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-08

漏洞简述

2023年05月08日，360CERT监测发现GitLab发布了CE/EE的风险通告，漏洞编号为CVE-2023-2478，漏洞等级：严重，漏洞评分：9.6。

GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。

对此，360CERT建议广大用户及时请做好资产自查以及预防工作，以免遭受黑客攻击。

风险等级

360CERT对该漏洞的评定结果如下

评定方式

等级

漏洞详情

组件: GitLab:CE/EE

漏洞类型: 程序逻辑错误

实际影响: 远程代码执行

主要影响: 敏感数据窃取

简述: 该漏洞存在于GitLab中，是一个代码执行漏洞。在某些情况下，经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目，可能造成代码执行或敏感信息泄露的影响。

影响版本

组件

影响版本

安全版本

修复建议

根据影响版本中的信息，排查并升级到安全版本，或直接访问参考链接获取官方更新指南。

产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

Python网络安全:最强工具,保护你的网络世界