报告编号：CERT-R-2023-144

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-08

1
 漏洞简述2023年05月08日，360CERT监测发现GitLab发布了CE/EE的风险通告，漏洞编号为CVE-2023-2478，漏洞等级：严重，漏洞评分：9.6。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。对此，360CERT建议广大用户及时请做好资产自查以及预防工作，以免遭受黑客攻击。2
 风险等级360CERT对该漏洞的评定结果如下评定方式等级

威胁等级

严重

影响面

广泛

攻击者价值

高

利用难度

低

360CERT评分

9.6

3
 漏洞详情

CVE-2023-2478 远程代码执行漏洞

组件: GitLab:CE/EE漏洞类型: 程序逻辑错误实际影响: 远程代码执行主要影响: 敏感数据窃取简述: 该漏洞存在于GitLab中，是一个代码执行漏洞。在某些情况下，经过身份认证的远程攻击者可以使用 GraphQL 端点将恶意运行器附加到实例上的任何项目，可能造成代码执行或敏感信息泄露的影响。4
 影响版本

CVE-2023-2478

组件影响版本安全版本

GitLab:CE/EE

15.4 – 15.9.7

>= 15.9.7

GitLab:CE/EE

15.10 – 15.10.6

15.10.X >= 15.10.6

GitLab:CE/EE

15.11 – 15.11.2

15.11.X >= 15.11.2

5
 修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本，或直接访问参考链接获取官方更新指南。6
 产品侧解决方案若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

文章原文链接:https://www.anquanke.com/post/id/288780