登入

會員權益

獲取需求

查看名片

專屬客服

尊貴標識

VIP低至1.5U/天

GitLab揭露高風險漏洞,未經身分驗證的攻擊者可發動XSS攻擊接管帳號

分享

支付動態

2024-05-24

本週GitLab針對社群版(CE)及企業版(EE)發布更新,修補一系列漏洞,其中最值得留意的部分,是能藉由IDE工具觸發的高風險漏洞CVE-2024-4835,若不修補,攻擊者可用於洩漏使用者機密資訊

5月22日GitLab發布社群版(CE)及企業版(EE)的17.0.1、16.11.3、16.10.6更新,當中修補7個漏洞,其中有1個被列為高風險層級,而特別值得留意。

這項高風險漏洞是CVE-2024-4835,為一鍵點擊的帳號挾持漏洞,攻擊者可製作惡意網頁,在未經身分驗證的情況下,利用Visual Studio Code程式碼編輯器(網頁IDE)觸發漏洞進行跨網站指令碼(XSS)攻擊,從而洩漏使用者機敏資訊,進而有機會接管帳號,CVSS風險評為8.0分。

其餘中等層級的漏洞當中,危險程度較高的是:runner說明欄位的阻斷服務(DoS)漏洞CVE-2024-2874、K8s叢集整合的跨網站偽造請求(CSRF)漏洞CVE-2023-7045等,上述漏洞的CVSS風險評分為6.5、5.4。

免責聲明:
詳情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu