立即更新！GitLab示警並修補嚴重漏洞

2023 / 09 / 21

編輯部

GitLab 已發布安全性修補程式來解決允許攻擊者以其他使用者身分運行的嚴重漏洞。
此問題編號為CVE-2023-5009（CVSS 評分：9.6），影響從 13.12 到 16.2.7 以及從 16.3 到 16.3.4 之前的所有版本的 GitLab Enterprise Edition (EE)。

GitLab在公告中表示，攻擊者有可能透過預定的安全掃描策略以任意用戶身份運行管道。CVE-2023-5009是CVE-2023-3932修補的繞過，會產生額外影響。成功利用 CVE-2023-5009 可能允許威脅參與者存取敏感資訊或利用模擬使用者的提升權限來修改原始程式碼或在系統上運行任意程式碼，從而導致嚴重後果。

GitLab 於 2023 年 8 月初解決了 CVE-2023-3932。CVE-2023-5009則已在版本 16.3.4 和 16.2.7 中解決。

用戶也同時應注意兩年前 GitLab 嚴重漏洞：CVE-2021-22205（CVSS 評分：10.0），目前仍持續被攻擊者積極利用。趨勢科技日前透露，與中國有關的攻擊者Earth Lusca 正在利用CVE-2021-22205 在內的 N 日漏洞武器化，積極瞄準公開的伺服器，以滲透受害者網路。

強烈建議用戶盡快安裝GitLab最新版本，以防範潛在風險。

本文轉載自TheHackerNews。

0-day n-day 漏洞武器化 CVE-2023-5009 CVE-2023-3932 CVE-2021-22205