Gitblit身份验证绕过漏洞(CVE-2024-28080)
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Gitblit发布安全公告,修复身份验证绕过漏洞(CVE-2024-28080),该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录。受影响版本为Gitblit <= 1.9.3,建议用户尽快升级至1.10.0以上版本。
🎯
关键要点
- 绿盟科技CERT监测到Gitblit发布安全公告,修复身份验证绕过漏洞(CVE-2024-28080)。
- 该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录,受影响版本为Gitblit <= 1.9.3。
- 建议用户尽快升级至1.10.0以上版本以防护该漏洞。
- Gitblit是一个开源的纯Java技术栈,用于管理和服务Git仓库,主要面向中小型工作组。
- 绿盟科技外部攻击面管理服务(EASM)支持CVE-2024-28080漏洞风险的互联网资产排查。
- 绿盟科技自动化渗透测试工具(EZ)支持Gitblit的指纹识别排查,用户可使用web模块进行扫描检测。
- 官方已发布新版本修复此漏洞,受影响用户应尽快升级。
- 本安全公告不提供任何保证,使用者需自行承担因使用信息造成的后果。
❓
延伸问答
CVE-2024-28080漏洞的主要风险是什么?
该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录,导致系统身份验证被绕过。
受影响的Gitblit版本有哪些?
受影响的版本为Gitblit <= 1.9.3。
如何防护CVE-2024-28080漏洞?
建议用户尽快升级至Gitblit 1.10.0以上版本以防护该漏洞。
Gitblit是什么?
Gitblit是一个开源的纯Java技术栈,用于管理和服务Git仓库,主要面向中小型工作组。
绿盟科技提供了哪些工具来检测此漏洞?
绿盟科技的自动化渗透测试工具(EZ)支持Gitblit的指纹识别排查,用户可使用web模块进行扫描检测。
CVE-2024-28080漏洞的CVSS评分是多少?
该漏洞的CVSS评分为9.2。
➡️
