【严重】GitLab 以其他用户身份执行 Slack 命令

这篇具有很好参考价值的文章主要介绍了【严重】GitLab 以其他用户身份执行 Slack 命令。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。

GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。

漏洞名称 GitLab 以其他用户身份执行 Slack 命令
漏洞类型 身份验证错误
发现时间

2024/1/12

漏洞影响广度 广
MPS编号 MPS-pf0c-qykt
CVE编号 CVE-2023-5356
CNVD编号 -

影响范围

gitlab@[8.13, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将组件 gitlab 升级至 16.5.6 及以上版本

将组件 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

Add verification layer for BaseSlash commands (f972a674) · Commits · GitLab.org / GitLab · GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj 文章来源地址https://www.toymoban.com/news/detail-790679.html

到了这里,关于【严重】GitLab 以其他用户身份执行 Slack 命令的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 忘记gitlab的root用户密码(重置gitlab的root用户密码)

    目录 一、服务简介  二、解决思路 1、首先登录gitlab服务器执行以下命令:  2、通过命令查找,确定用户为“root” 3、将root用户密码重置为admin123! 4、保存重置信息,并结束          GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭

    2023年04月08日
    浏览(50)
  • gitlab查看、修改用户和邮箱,gitlab生成密钥

    查看用户、邮箱 git config user.name git config user.email 修改用户、邮箱 git config --global user.name “xxx” git config --global user.email “xxx@xxx.com”  生成ssh密钥 ssh-keygen -t rsa -C “xxx@xxx.com”  查看SSH秘钥 cat ~/.ssh/id_rsa.pub  将秘钥复制,然后打开GitLab,单击settings-SSH Keys,把内容粘贴到key中,

    2024年02月08日
    浏览(40)
  • gitlab如何创建用户并登录

    为了大家后期能方便创建用户和使用gitlab,先给大家设置为中文    设置为中文后保存然后刷新页面即可设置为中文 接下来教大家怎么创建git用户并进行登录    创建完用户后需要配置一次密码 配置完密码后退出用户测试进行新用户登录 这里用刚创建的新用户来登录  第一

    2024年02月15日
    浏览(34)
  • github gitlab 多用户多平台切换

    我需要用账号1 来登录并管理github 账号 我需要用账号2 来登录并管理gitlab 账号 设置账号1用户名与邮箱 git config --global user.name \\\"miaojiang\\\" git config --global user.email \\\"187133@163.com\\\" 生成账号1 对应的密钥 ssh-keygen -t rsa -C \\\'187133@163.com\\\' 连续三次回车 路径:通常位于用户的 ~/.ssh/ 目录下

    2024年02月15日
    浏览(52)
  • gitlab-rake gitlab:backup:create 执行报错 Errno::ENOSPC: No space left on device

    gitlab仓库备份执行 报错如下: 问题分析:存储备份的空间满 解决方法: 方法1:清理存放路径,删除不需要文件,释放空间。 方法2:创建一个根目录的挂载点,将新创建的目录挂载到根目录上,重启系统。(风险大,不建议) 方法3:修改备份存放位置 保存文件,然后运行

    2024年02月10日
    浏览(41)
  • 关于gitlab 使用用户名与密码登陆的方法

    首先设置access token 有了access token后,我们还需要在git中进行配置,这样才能go get下了私有仓库的包,需要把刚刚的token添加进git的请求头中,操作如下: git config --global http.extraheader \\\"PRIVATE-TOKEN: YOUR_PRIVATE_TOKEN\\\" 配置git将请求从ssh转换为http env GIT_TERMINAL_PROMPT=1 go get -u chainmaker.

    2024年02月12日
    浏览(39)
  • gitLab相关命令

    1) 远程仓库相关命令 git clone 远程仓库地址 #检出仓库 git remote -v #查看远程仓库 git remote add [name][url] #添加远程仓库,git remote add origin 远程仓库地址 git remote rm [name] #删除远程仓库,git remote rm origin git remote set-[url] --push[name][newUrl] #修改远程仓库 git pull [remoteName] [localBran

    2024年02月08日
    浏览(26)
  • GitLab 命令行统计代码量

    一、git bash打开 右键点击Git Bash Here,打开后界面 二、查看命令 查询所有用户的提交总次数 git log --pretty=\\\'%aN\\\' | sort | uniq -c | sort -k1 -n -r 1.根据时间查询次数 git log --after=\\\"2023-01-01 00:00:00\\\" --before=\\\"2023-12-31 23:59:59\\\" --pretty=\\\'%aN\\\' | sort | uniq -c | sort -k1 -n -r 2.gitee统计,各用户提交行数

    2024年02月04日
    浏览(32)
  • CVE-2021-22204 GitLab RCE之exiftool代码执行漏洞深入分析(二)

    文章写于2022-01-19,首发在天融信阿尔法实验室 1 前言 2 前置知识 2.1 JPEG文件格式 2.2 Perl模式匹配 3 exiftool源码调试到漏洞分析 3.1 环境搭建 3.2 漏洞简介 3.3 exiftool是如何解析嵌入的0xc51b标签 3.4 exiftool是如何调用parseAnt函数 3.5 parseAnt函数分析 3.6 parseAnt漏洞分析 4 漏洞利用 4.1

    2024年02月14日
    浏览(41)
  • PyCharm使用GitLab,Git常用命令

    打开Pycharm-File-Settings-Version Control (第五步:克隆的项目的主分支,大多数是master) 到GitLab上克隆地址,两个都可以,我这里选择的是HTTPS VCS-Get from Version Control 点击克隆以后会跳出让你填写账号密码的信息框,填上就行,最后控制台会出现克隆成功 然后重新打开克隆到本地的

    2024年02月02日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包