VNG Cloud Logo

CVE-2024-2279 GitLab CE/EE XSS vulnerability

Severity: High  

Score: 8.7 

CVSSv3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N  

Mô tả: 

Lỗ hổng trong GitLab xuất phát từ việc không lọc (filter) đầu vào đúng cách trong tính năng tự động hoàn thiện cho các tham chiếu vấn đề (autocomplete for issues). Bằng cách tạo một payload độc hại, kẻ tấn công có thể chèn mã JavaScript tùy ý vào nền tảng, hành động sẽ được thực thi dưới quyền người dùng khi họ xem trang bị ảnh hưởng.  

Các phiên bản bị ảnh hưởng:  

  • GitLab CE/EE từ 16.7 đến 16.8.6  
  • GitLab CE/EE từ 16.9 đến 16.9.4 (trước bản vá)  
  • GitLab CE/EE từ 16.10 đến 16.10.2 (trước bản vá)  

Khuyến nghị:  

Nâng cấp GitLab CE/EE lên phiên bản mới nhất:  

  • GitLab CE/EE 16.8.7  
  • GitLab CE/EE 16.9.4 (hoặc phiên bản vá mới hơn)  
  • GitLab CE/EE 16.10.2 (hoặc phiên bản vá mới hơn)  

Tránh click vào các đề xuất autocomplete đáng ngờ trong tính năng tham chiếu issue.  

Tham khảo:  

  1. https://nvd.nist.gov/vuln/detail/CVE-2024-2279  
  2. https://vulert.com/vuln-db/CVE-2024-2279  
  3. https://www.cert.be/en/advisory/warning-gitlab-ceee-patched-two-critical-xss-vulnerabilities-patch-immediately  
  4. https://www.cvedetails.com/vulnerability-list/vendor_id-13074/Gitlab.html