Gitlab Wiki API 远程代码执行漏洞(CVE-2018-18649)

背景信息:

Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。

漏洞描述:

该API在处理外部输入时未做有效过滤,导致攻击者构造特定的恶意请求,可以在目标服务器上执行任意代码命令。

漏洞定级:

高危

漏洞影响范围:

Gitlab CE/EE 11.3 及之后的版本

漏洞处置建议:

  1. 升级Gitlab CE/EE至最新版本,官方升级引导链接:https://about.gitlab.com/update/
  2. 进入Gitlab实例的/admin/application_settings页面,在"Import sources"选项下取消"GitLab export"的选中复选框,点击Save changes保存

扩展知识引用:

https://about.gitlab.com/2018/10/29/security-release-gitlab-11-dot-4-dot-3-released/

相关推荐:
背景信息: 2019年2月20日,有国外安全研究人员披露WordPress存在远程代码执行漏洞,拥有Author发布文章权限的攻击者,可在目标 WordPress站点服务器执行任意PHP代码。 漏洞描述: 由于没有安全检查,文章作者更新图 …
背景信息: 2019年4月18日,Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在downloadallattachments 资源中存在目录穿越漏洞(CVE-2019-3398),远程攻击者可以利用此漏洞将WebShe …
背景信息: 2019年4月17日,监测到Spring官方发布安全公告,披露Spring Cloud Config服务器存在远程任意文件读取漏洞(CVE-2019-3799)。黑客可通过漏洞直接遍历服务器任意磁盘文件,风险较大。 漏洞描述: Spring Clo …
漏洞描述: 2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 漏洞定级: …
漏洞描述: 2017年10月2日, 由Google安全团队发现的多个DNSMASQ安全漏洞被披露。其中漏洞编号为 CVE-2017-14491、CVE-2017-14492、CVE-2017-14493 的三个漏洞被相关厂商标记为严重等级, 剩余编号为 CVE-2017-14494 …
拿起手机扫一扫即可带走我!