漏洞描述
GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。
在 GitLab 受影响版本中存在存储型 XSS 漏洞,由于 Kroki 过滤器中对接收的 image_src 过滤不严,攻击者可通过恶意构造的 Kroki 图表,当用户访问该图表时,即可触发恶意代码,进行执行任意 JS 代码。
(资料图)
影响范围
GitLab CE@[13.7, 15.7.8)
GitLab CE@[15.8, 15.8.4)
GitLab CE@[15.9, 15.9.2)
GitLab EE@[15.9, 15.9.2)
GitLab EE@[15.8, 15.8.4)
GitLab EE@[13.7, 15.7.8)
修复方案
将组件 GitLab EE 升级至 15.7.8 及以上版本
将组件 GitLab CE 升级至 15.7.8 及以上版本
将组件 GitLab CE 升级至 15.8.4 及以上版本
将组件 GitLab CE 升级至 15.9.2 及以上版本
将组件 GitLab EE 升级至 15.9.2 及以上版本
将组件 GitLab EE 升级至 15.8.4 及以上版本
关键词:
