Gitlab Wiki API 远程代码执行漏洞(CVE-2018-18649)

背景信息:

Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。

漏洞描述:

该API在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器上执行任意代码命令。

漏洞定级:

高危

漏洞影响范围:

Gitlab CE/EE 11.3 及之后的版本

漏洞处置建议:

  1. 升级Gitlab CE/EE至最新版本,官方升级引导链接:https://about.gitlab.com/update/
  2. 进入Gitlab实例的/admin/application_settings页面,在”Import sources”选项下取消”GitLab export”的选中复选框,点击Save changes保存

扩展知识引用:

https://about.gitlab.com/2018/10/29/security-release-gitlab-11-dot-4-dot-3-released/

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 漏洞描述: Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735。 漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现 s...
  • 漏洞描述: 2018年4月26日,Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 漏洞影响范围: Drupal 7.x版本、8.4.x版本、8.5.x版本...
  • 漏洞描述: 2017年10月2日, 由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494、CVE-2017...
  • 背景信息: 2019年4月18日,Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在downloadallattachments 资源中存在目录穿越漏洞(CVE-2019-3398),远程攻击者可以利用此漏洞将Web...
  • 漏洞描述: 2018年3月29日,Drupal官方发布新补丁和安全公告,宣称Drupal 6.x,7.x,8.x等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞执行代码,导致网站被完全控制。 漏洞定级: 高危 漏洞影响范围: Drupal 6.x版本,7.x版本,8.x版本 解决...
微信扫一扫即可带走我!