绿盟科技技术博客 绿盟科技技术博客 ·

GitLab越权调用漏洞(CVE-2023-5009)通告
💡 原文中文,约1000字,阅读约需3分钟。
📝

内容提要

GitLab官方修复了一个越权调用漏洞,攻击者可滥用扫描执行策略运行pipelines任务,造成数据泄露。受影响版本为13.12 <= Gitlab EE < 16.2.7和16.3.0 <= Gitlab EE < 16.3.4。建议受影响的用户及时升级防护。

🎯

关键要点

  • GitLab官方修复了一个越权调用漏洞,攻击者可滥用扫描执行策略运行pipelines任务,造成数据泄露。

  • 受影响版本为13.12 <= Gitlab EE < 16.2.7和16.3.0 <= Gitlab EE < 16.3.4。

  • CVSS评分为9.6,建议受影响的用户尽快采取措施进行防护。

  • 用户可通过命令查看当前使用的GitLab版本,以判断是否存在风险。

  • GitLab官方已发布安全版本,建议受影响的用户及时升级防护。

  • 绿盟科技不对安全公告的内容承担任何责任,用户需自行负责可能造成的后果。

🏷️

标签

GitLab cve pipelines任务 升级防护 数据泄露 漏洞 越权调用漏洞
➡️

继续阅读

  1. 【漏洞通告】Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)
    Adobe ColdFusion存在任意文件读取漏洞(CVE-2024-53961),攻击者可绕过限制读取敏感文件。受影响版本包括ColdFusion 2...
  2. 【漏洞通告】Windows LDAP拒绝服务漏洞(CVE-2024-49113)
    近期发现Windows LDAP远程代码执行漏洞(CVE-2024-49113),攻击者可利用此漏洞导致拒绝服务或信息泄露。受影响的系统包括多个版本的Wi...
  3. 【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)
    Ivanti发布安全公告,修复了多个产品的缓冲区溢出漏洞(CVE-2025-0282)。该漏洞允许未经身份验证的攻击者通过特制数据包执行任意代码,CVSS...
  4. 【漏洞通告】Fortinet FortiOS&FortiProxy身份验证绕过漏洞(CVE-2024-55591)通告
    Fortinet发布安全通告,修复FortiOS和FortiProxy中的身份认证绕过漏洞(CVE-2024-55591)。该漏洞允许攻击者通过特制数据包...
  5. 【漏洞通告】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
    绿盟科技发布安全公告,修复了Rsync中的两个严重漏洞(CVE-2024-12084和CVE-2024-12085),可能导致远程代码执行和信息泄露。受影...
  6. 【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061)
    绿盟科技CERT监测到MongoDB Mongoose存在搜索注入漏洞(CVE-2025-23061),攻击者可利用该漏洞实现代码注入。受影响版本包括8....
👤 个人中心
在公众号发送验证码完成验证