一、基本情况
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
二、 漏洞描述
GitLab官方发布更新公告,修复了GitLab社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-6033),该漏洞的CVSSv3评分为8.7。
该漏洞源于GitLab CE/EE中的Jira集成配置中的输入过滤不当,可能导致通过Jira的Banzai管道在Markdown中执行XSS和ReDoS攻击,从而可能在受害者的浏览器中执行javascript代码。成功利用该漏洞可能造成信息泄露、会话劫持、网络钓鱼、拒绝服务等。
三、 影响范围
15.10 <= GitLab CE/EE版本< 16.6.1
16.5 <= GitLab CE/EE版本< 16.5.3
16.4 <= GitLab CE/EE版本< 16.4.3
四、 修复建议
目前该漏洞已经修复,受影响用户可升级到GitLab CE/EE版本16.6.1、16.5.3、16.4.3或更高版本。
